เมต้า บริษัทแม่ของ Facebook และ Instagram ไม่หยุดใช้อาวุธทั้งหมด ที่พวกเขาเห็นว่ามีประสิทธิภาพ เพื่อให้บรรลุเป้าหมาย "ความเป็นส่วนตัว" ของคุณ และตอนนี้ก็เพิ่งถูกแยกออกมาอีกครั้งสำหรับแนวทางปฏิบัติในการติดตามผู้ใช้บนเว็บโดยการฉีดโค้ดลงในเบราว์เซอร์ที่ฝังอยู่ในแอปพลิเคชันของพวกเขา
เรื่องนี้ได้รับความสนใจจากประชาชนทั่วไปโดย เฟลิกซ์ เคราส์, ผู้ตรวจสอบความเป็นส่วนตัว ในการบรรลุข้อสรุปนี้ เฟลิกซ์ เคราส์ ออกแบบเครื่องมือที่สามารถตรวจจับได้ว่ามีการใส่โค้ด JavaScript หรือไม่ บนเพจที่เปิดขึ้นในเบราว์เซอร์ในตัวในแอพ Instagram, Facebook และ Messenger เมื่อผู้ใช้คลิกลิงก์ที่นำพวกเขาไปยังเพจภายนอกแอพ
หลังจากเปิดแอป Telegram และคลิกลิงก์ที่เปิดหน้าของบุคคลที่สาม ไม่พบการแทรกโค้ด อย่างไรก็ตาม เมื่อทำซ้ำประสบการณ์เดียวกันกับ Instagram, Messenger, Facebook บน iOS และ Android เครื่องมือนี้อนุญาตให้แทรกโค้ด JavaScript ที่ฉีดได้หลายบรรทัดหลังจากเปิดหน้าในเบราว์เซอร์ที่สร้างขึ้นในแอปพลิเคชันเหล่านี้
ตามที่นักวิจัยกล่าวว่า ไฟล์ JavaScript ภายนอกที่แอพ Instagram แทรกคือ (Connect.facebook.net/en_US/pcm.js) ซึ่งเป็นรหัสสำหรับสร้างบริดจ์เพื่อสื่อสารกับโฮสต์แอปพลิเคชัน
รายละเอียดเพิ่มเติม, นักวิจัยค้นพบสิ่งต่อไปนี้:
Instagram กำลังเพิ่มตัวฟังเหตุการณ์ใหม่เพื่อรับรายละเอียดทุกครั้งที่ผู้ใช้เลือกข้อความบนเว็บไซต์ เมื่อรวมกับการฟังภาพหน้าจอแล้ว จะทำให้ Instagram มีภาพรวมที่สมบูรณ์ของข้อมูลเฉพาะที่เลือกและแชร์ แอพ Instagram จะตรวจสอบรายการที่มี id iab-pcm-sdk ซึ่งน่าจะหมายถึง “In App Browser”
หากไม่พบองค์ประกอบที่มี id iab-pcm-sdk Instagram จะสร้างองค์ประกอบสคริปต์ใหม่และตั้งค่าแหล่งที่มาเป็น https://connect.facebook.net/en_US/pcm.js
จากนั้นจะพบองค์ประกอบสคริปต์แรกในเว็บไซต์ของคุณเพื่อแทรกไฟล์ JavaScript pcm ก่อน
Instagram ยังมองหา iframes บนเว็บไซต์ แต่ไม่พบข้อมูลเกี่ยวกับสิ่งที่ทำ
จากที่นั่น, Krause อธิบายว่าการแทรกสคริปต์ที่กำหนดเองลงในเว็บไซต์บุคคลที่สามสามารถทำได้แม้จะไม่มีหลักฐานยืนยันว่าบริษัทกำลังดำเนินการอยู่ก็ตาม อนุญาตให้ Meta ตรวจสอบการโต้ตอบของผู้ใช้ทั้งหมด เช่น การโต้ตอบกับแต่ละปุ่มและลิงก์ การเลือกข้อความ ภาพหน้าจอ และการป้อนข้อมูลในแบบฟอร์มทั้งหมด เช่น รหัสผ่าน ที่อยู่ และหมายเลขบัตรเครดิต นอกจากนี้ยังไม่มีวิธีปิดใช้งานเบราว์เซอร์ที่กำหนดเองซึ่งรวมอยู่ในแอปที่เป็นปัญหา
หลังจากเผยแพร่การค้นพบนี้ เมตาจะมีปฏิกิริยาโดยระบุว่าการฉีดโค้ดนี้จะช่วยเพิ่มเหตุการณ์ เช่น การซื้อของออนไลน์ ก่อนที่พวกเขาจะใช้สำหรับการโฆษณาที่ตรงเป้าหมายและการวัดผลสำหรับแพลตฟอร์ม Facebook มีรายงานว่าบริษัทกล่าวเสริมว่า "สำหรับการซื้อผ่านเบราว์เซอร์ของแอป เราขอความยินยอมจากผู้ใช้ในการบันทึกข้อมูลการชำระเงินสำหรับการป้อนอัตโนมัติ"
แต่สำหรับผู้วิจัย ไม่มีเหตุผลอันสมควรที่จะรวมเบราว์เซอร์เข้ากับแอปพลิเคชัน Meta และบังคับให้ผู้ใช้อยู่ในเบราว์เซอร์นั้นเมื่อพวกเขาต้องการเรียกดูไซต์อื่นๆ ที่ไม่เกี่ยวข้องกับกิจกรรมของบริษัท
นอกจากนี้ การใส่รหัสลงในหน้าของเว็บไซต์อื่น ๆ จะก่อให้เกิดความเสี่ยงในหลายระดับ:
- ความเป็นส่วนตัวและการวิเคราะห์: แอปโฮสต์สามารถติดตามทุกอย่างที่เกิดขึ้นบนเว็บไซต์ได้อย่างแท้จริง เช่น ทุกการสัมผัส การกดปุ่ม ลักษณะการเลื่อน เนื้อหาที่คัดลอกและวาง และข้อมูลที่ถูกมองว่าเป็นการซื้อออนไลน์
- การขโมยข้อมูลประจำตัวของผู้ใช้ ที่อยู่จริง คีย์ API ฯลฯ
- โฆษณาและการอ้างอิง: แอปโฮสต์สามารถแทรกโฆษณาลงในเว็บไซต์ หรือแทนที่คีย์ API ของโฆษณาเพื่อขโมยรายได้จากแอปโฮสต์ หรือแทนที่ URL ทั้งหมดเพื่อรวมรหัสอ้างอิง
- ความปลอดภัย: เบราว์เซอร์ใช้เวลาหลายปีในการเพิ่มประสิทธิภาพการรักษาความปลอดภัยให้กับประสบการณ์การใช้งานเว็บของผู้ใช้ เช่น การแสดงสถานะการเข้ารหัส HTTPS เตือนผู้ใช้เกี่ยวกับเว็บไซต์ที่ไม่ได้เข้ารหัส เป็นต้น
- การใส่โค้ด JavaScript เพิ่มเติมลงในเว็บไซต์บุคคลที่สามอาจทำให้เกิดปัญหาที่อาจทำให้เว็บไซต์เสียหายได้
- ไม่มีส่วนขยายเบราว์เซอร์และตัวบล็อกเนื้อหาผู้ใช้
- ลิงก์ในรายละเอียดทำงานได้ไม่ดีในกรณีส่วนใหญ่
- การแชร์ลิงก์ผ่านแพลตฟอร์มอื่นๆ มักไม่ใช่เรื่องง่าย (เช่น อีเมล AirDrop เป็นต้น)
ในที่สุด หากคุณสนใจที่จะทราบข้อมูลเพิ่มเติม คุณสามารถปรึกษา รายละเอียดตามลิงค์ต่อไปนี้