Meta slutar inte sätta fingret på mig och fortsätter med spårning av användare 

Mål, moderbolaget till Facebook och Instagram, slutar inte använda alla vapen som de anser vara effektiva för att uppnå dina "integritetsmål". och nu har det precis pekats ut igen för metoder för att spåra användare på webben genom att injicera kod i webbläsaren som är inbäddad i deras applikationer.

Denna fråga uppmärksammades av allmänheten av Felix Kraus, en integritetsutredare. För att nå denna slutsats, Felix Krause designat ett verktyg som kan upptäcka om JavaScript-kod injiceras på sidan som öppnas i webbläsaren inbyggd i apparna Instagram, Facebook och Messenger när en användare klickar på en länk som tar dem till en sida utanför appen.

Efter att ha öppnat Telegram-appen och klickat på en länk som öppnar en tredje parts sida, upptäcktes ingen kodinjektion. Men när man upprepade samma upplevelse med Instagram, Messenger, Facebook på iOS och Android, tillät verktyget att infoga flera rader med injicerad JavaScript-kod efter att ha öppnat sidan i webbläsaren inbyggd i dessa applikationer.

Enligt forskaren, den externa JavaScript-filen som Instagram-appen injicerar är (connect.facebook.net/en_US/pcm.js), vilket är kod för att skapa en brygga för att kommunicera med värdapplikationen.

Fler detaljer, Utredaren upptäckte följande:

Instagram lägger till en ny evenemangslyssnare för att få information när användaren väljer text på webbplatsen. Detta, i kombination med att lyssna på skärmdumpar, ger Instagram en fullständig överblick över den specifika information som valts ut och delas. Instagram-appen söker efter ett objekt med id:t iab-pcm-sdk som troligen syftar på "In App Browser".
Om inget element med id iab-pcm-sdk hittas skapar Instagram ett nytt skriptelement och ställer in dess källa till https://connect.facebook.net/en_US/pcm.js
Den hittar sedan det första skriptelementet på din webbplats för att infoga JavaScript pcm-filen precis innan
Instagram letar också efter iframes på hemsidan, men ingen information hittades om vad den gör.

Därifrån, Krause förklarar att injicera anpassade skript på tredjepartswebbplatser skulle kunnaäven om det inte finns några bevis som bekräftar att företaget gör det, tillåt Meta att övervaka alla användarinteraktioner, som interaktioner med varje knapp och länk, textval, skärmdumpar och alla formulärinmatningar som lösenord, adresser och kreditkortsnummer. Det finns heller inget sätt att inaktivera den anpassade webbläsaren som är inbyggd i apparna i fråga.

Efter publiceringen av denna upptäckt, Meta skulle ha reagerat och sagt att injiceringen av denna kod skulle hjälpa till att lägga till händelser, som onlineköp, innan de används för riktad reklam och åtgärder för Facebook-plattformen. Företaget tillade enligt uppgift att "för köp gjorda via appens webbläsare ber vi om användarens samtycke för att spara betalningsinformation för autofyllsändamål."

Men för forskaren, det finns ingen legitim anledning att integrera en webbläsare i Meta-applikationer och tvinga användare att stanna kvar i den webbläsaren när de vill surfa på andra webbplatser som inte har något att göra med företagets verksamhet.

Dessutom skulle denna praxis att injicera kod på sidor på andra webbplatser generera risker på flera nivåer:

  • Sekretess och analys: Värdappen kan spåra bokstavligen allt som händer på webbplatsen, till exempel varje tryckning, knapptryckning, rullningsbeteende, vilket innehåll som kopieras och klistras in och data ses som onlineköp.
  • Stöld av användaruppgifter, fysiska adresser, API-nycklar, etc.
  • Annonser och hänvisningar: Värdappen kan injicera annonser på webbplatsen eller åsidosätta ads API-nyckeln för att stjäla intäkter från värdappen, eller åsidosätta alla webbadresser för att inkludera en hänvisningskod.
  • Säkerhet: Webbläsare har optimerat säkerheten för användarens webbupplevelse i flera år, som att visa HTTPS-krypteringsstatus, varna användaren om okrypterade webbplatser, etc.
  • Att injicera ytterligare JavaScript-kod på en tredje parts webbplats kan orsaka problem som kan skada webbplatsen
  • Webbläsartillägg och blockerare av användarinnehåll är inte tillgängliga.
  • Djuplänkning fungerar inte bra i de flesta fall.
  • Det är ofta inte lätt att dela en länk via andra plattformar (t.ex. e-post, AirDrop, etc.)

Slutligen Om du är intresserad av att veta mer om det, du kan rådfråga detaljerna i följande länk.


Lämna din kommentar

Din e-postadress kommer inte att publiceras. Obligatoriska fält är markerade med *

*

*

  1. Ansvarig för uppgifterna: Miguel Ángel Gatón
  2. Syftet med uppgifterna: Kontrollera skräppost, kommentarhantering.
  3. Legitimering: Ditt samtycke
  4. Kommunikation av uppgifterna: Uppgifterna kommer inte att kommuniceras till tredje part förutom enligt laglig skyldighet.
  5. Datalagring: databas värd för Occentus Networks (EU)
  6. Rättigheter: När som helst kan du begränsa, återställa och radera din information.