гол, матична компанија Фејсбука и Инстаграма, не престаје да користи сво оружје које сматрају ефикасним да бисте постигли своје циљеве „приватности“. а сада је управо поново издвојен за праксу праћења корисника на вебу убацивањем кода у претраживач уграђен у њихове апликације.
На ову ствар је скренута пажња широј јавности од Феликс Краус, истраживач приватности. Долазећи до овог закључка, Феликс Краусе дизајнирао алат способан да открије да ли је ЈаваСцрипт код убачен на страници која се отвара у уграђеном претраживачу у апликацијама Инстаграм, Фацебоок и Мессенгер када корисник кликне на везу која га води на страницу ван апликације.
Након отварања апликације Телеграм и клика на везу која отвара страницу треће стране, није откривено убацивање кода. Међутим, при понављању истог искуства са Инстаграмом, Мессенгером, Фацебоок-ом на иОС-у и Андроид-у, алат је омогућио уметање неколико линија убаченог ЈаваСцрипт кода након отварања странице у претраживачу уграђеном у ове апликације.
Према истраживачу, спољна ЈаваСцрипт датотека коју апликација Инстаграм убризгава је (цоннецт.фацебоок.нет/ен_УС/пцм.јс), што је код за креирање моста за комуникацију са хост апликацијом.
Детаљније, Истраживач је открио следеће:
Инстаграм додаје нови слушалац догађаја да би добио детаље кад год корисник одабере текст на веб локацији. Ово, у комбинацији са слушањем снимака екрана, даје Инстаграму потпуни преглед одређених информација које су одабране и дељене. апликација Инстаграм проверава да ли има ставке са ид-ом иаб-пцм-сдк који се вероватно односи на „Ин Апп Бровсер“.
Ако није пронађен ниједан елемент са ид-ом иаб-пцм-сдк, Инстаграм креира нови елемент скрипте и поставља његов извор на хттпс://цоннецт.фацебоок.нет/ен_УС/пцм.јс
Затим проналази први елемент скрипте на вашој веб локацији за уметање ЈаваСцрипт пцм датотеке непосредно пре
Инстаграм такође тражи ифраме на веб локацији, али није пронађена информација о томе шта ради.
Одатле Краусе објашњава да би убацивање прилагођених скрипти на веб странице трећих страна могло, чак и ако нема доказа који би потврдили да компанија то чини, дозволи Мета да прати све интеракције корисника, као што су интеракције са сваким дугметом и везом, избор текста, снимци екрана и сви уноси обрасца као што су лозинке, адресе и бројеви кредитних картица. Такође, не постоји начин да се онемогући прилагођени претраживач уграђен у дотичне апликације.
Након објављивања овог открића, Мета би реаговао наводећи да би убацивање овог кода помогло да се додају догађаји, као што су онлајн куповине, пре него што се користе за циљано оглашавање и мере за Фацебоок платформу. Компанија је наводно додала да „за куповине обављене преко претраживача апликације тражимо сагласност корисника да сачувамо информације о плаћању за потребе аутоматског попуњавања“.
Али за истраживача, нема легитимног разлога да се прегледач интегрише у Мета апликације и приморати кориснике да остану у том претраживачу када желе да претражују друге сајтове који немају никакве везе са активностима фирме.
Поред тога, ова пракса убацивања кода на странице других веб локација створила би ризике на неколико нивоа:
- Приватност и аналитика: Апликација домаћин може да прати буквално све што се дешава на веб локацији, као што су сваки додир, притисак на тастер, понашање при померању, који се садржај копира и налепи и подаци који се гледају као онлајн куповине.
- Крађа корисничких акредитива, физичких адреса, АПИ кључева итд.
- Огласи и препоруке: Апликација за домаћина може да убаци огласе на веб локацију или да замени кључ АПИ-ја за огласе да би украла приход од апликације хоста, или да замени све УРЛ адресе да би укључила код препоруке.
- Безбедност: Прегледачи су провели године оптимизујући безбедност корисничког веб искуства, као што је приказивање статуса ХТТПС шифровања, упозорење корисника о нешифрованим веб локацијама итд.
- Убацивање додатног ЈаваСцрипт кода на веб локацију треће стране може изазвати проблеме који могу да покваре веб локацију
- Проширења прегледача и блокатори корисничког садржаја нису доступни.
- Дубоко повезивање не функционише добро у већини случајева.
- Често није лако делити везу преко других платформи (нпр. е-пошта, АирДроп, итд.)
Коначно Ако сте заинтересовани да сазнате више о томе, можете се консултовати детаље у следећем линку.