Cieľ, materská spoločnosť Facebooku a Instagramu, neprestáva používať všetky zbrane ktoré považujú za účinné aby ste dosiahli svoje ciele v oblasti „súkromia“. a teraz bol opäť vybraný pre praktiky sledovania používateľov na webe vložením kódu do prehliadača zabudovaného v ich aplikáciách.
Na túto záležitosť upozornil širokú verejnosť r Felixom Krausom, vyšetrovateľ ochrany osobných údajov. Pri dosiahnutí tohto záveru Felix Krause navrhol nástroj schopný zistiť, či je vložený kód JavaScript na stránke, ktorá sa otvorí vo vstavanom prehliadači v aplikáciách Instagram, Facebook a Messenger, keď používateľ klikne na odkaz, ktorý ho presmeruje na stránku mimo aplikácie.
Po otvorení aplikácie Telegram a kliknutí na odkaz, ktorý otvorí stránku tretej strany, nebolo zistené žiadne vloženie kódu. Pri opakovaní rovnakej skúsenosti s Instagramom, Messengerom, Facebookom na iOS a Android však nástroj umožnil vložiť niekoľko riadkov vloženého JavaScript kódu po otvorení stránky v prehliadači zabudovanom do týchto aplikácií.
Podľa výskumníka je externý súbor JavaScript, ktorý vkladá aplikácia Instagram (connect.facebook.net/en_US/pcm.js), čo je kód na vytvorenie mosta na komunikáciu s hostiteľskou aplikáciou.
Viac informácií, Vyšetrovateľ zistil nasledovné:
Instagram pridáva nový poslucháč udalostí, aby ste získali podrobnosti vždy, keď používateľ vyberie text na webovej stránke. To v kombinácii s počúvaním snímok obrazovky poskytuje Instagramu úplný prehľad o konkrétnych informáciách, ktoré boli vybrané a zdieľané. aplikácia Instagram hľadá položku s id iab-pcm-sdk, ktorý pravdepodobne odkazuje na „V prehliadači aplikácií“.
Ak sa nenájde žiadny prvok s id iab-pcm-sdk, Instagram vytvorí nový prvok skriptu a nastaví jeho zdroj na https://connect.facebook.net/en_US/pcm.js
Potom nájde prvý prvok skriptu na vašej webovej lokalite, do ktorého vloží súbor JavaScript pcm tesne predtým
Instagram na stránke hľadá aj iframe, no nenašli sa žiadne informácie o tom, čo robí.
Odtiaľ Krause vysvetľuje, že vloženie vlastných skriptov na webové stránky tretích strán by mohlo, aj keď neexistujú dôkazy, ktoré by potvrdili, že tak spoločnosť robí, umožniť Meta monitorovať všetky interakcie používateľov, ako sú interakcie s každým tlačidlom a odkazom, výber textu, snímky obrazovky a všetky vstupy do formulárov, ako sú heslá, adresy a čísla kreditných kariet. Neexistuje tiež spôsob, ako zakázať vlastný prehliadač zabudovaný do príslušných aplikácií.
Po zverejnení tohto objavu Meta by reagovala vyhlásením, že vloženie tohto kódu by pomohlo pridať udalosti, ako sú online nákupy, predtým, než sa použijú na cielenú reklamu a opatrenia pre platformu Facebook. Spoločnosť údajne dodala, že „pri nákupoch uskutočnených prostredníctvom prehliadača aplikácie žiadame od používateľov súhlas na uloženie platobných údajov na účely automatického dopĺňania“.
Ale pre výskumníka, neexistuje žiadny legitímny dôvod na integráciu prehliadača do aplikácií Meta a prinútiť používateľov zostať v tomto prehliadači, keď chcú prehliadať iné stránky, ktoré nemajú nič spoločné s činnosťou firmy.
Okrem toho by tento postup vkladania kódu na stránky iných webových stránok generoval riziká na niekoľkých úrovniach:
- Súkromie a analytika: Hostiteľská aplikácia môže sledovať doslova všetko, čo sa deje na webovej stránke, ako je každý dotyk, stlačenie klávesu, správanie pri posúvaní, aký obsah sa skopíruje a prilepí a údaje zobrazené ako online nákupy.
- Krádež prihlasovacích údajov používateľa, fyzických adries, kľúčov API atď.
- Reklamy a sprostredkovania: Hostiteľská aplikácia môže vložiť reklamy na webovú stránku alebo prepísať kľúč rozhrania API pre reklamy, aby ukradla príjmy z hostiteľskej aplikácie, alebo prepísať všetky adresy URL tak, aby obsahovali kód sprostredkovania.
- Zabezpečenie: Prehliadače strávili roky optimalizáciou zabezpečenia používateľského webu, napríklad zobrazovaním stavu šifrovania HTTPS, varovaním používateľa pred nezašifrovanými webovými stránkami atď.
- Vloženie dodatočného kódu JavaScript na webovú lokalitu tretej strany môže spôsobiť problémy, ktoré môžu webovú stránku poškodiť
- Rozšírenia prehliadača a blokovanie používateľského obsahu nie sú k dispozícii.
- Priame prepojenie vo väčšine prípadov nefunguje dobre.
- Často nie je jednoduché zdieľať odkaz cez iné platformy (napr. e-mail, AirDrop atď.)
Konečne Ak máte záujem dozvedieť sa viac, môžete sa poradiť podrobnosti v nasledujúcom odkaze.