Ang Meta ay hindi tumitigil sa paglalagay ng daliri sa akin at nagpapatuloy sa pagsubaybay sa mga user 

Darkcrizt

4 Minutos

layunin, ang pangunahing kumpanya ng Facebook at Instagram, hindi tumitigil sa paggamit ng lahat ng armas na itinuturing nilang epektibo upang makamit ang iyong mga layunin sa "pagkapribado". at ngayon ay napili na lamang itong muli para sa mga kasanayan sa pagsubaybay sa mga user sa web sa pamamagitan ng pag-inject ng code sa browser na naka-embed sa kanilang mga application.

Ang bagay na ito ay dinala sa atensyon ng pangkalahatang publiko ni Felix Kraus, isang imbestigador sa privacy. Sa pag-abot sa konklusyong ito, si Felix Krause nagdisenyo ng tool na may kakayahang tumukoy kung nai-inject ang JavaScript code sa page na bubukas sa built-in na browser sa Instagram, Facebook, at Messenger apps kapag nag-click ang isang user sa isang link na magdadala sa kanila sa isang page sa labas ng app.

Pagkatapos buksan ang Telegram app at i-click ang isang link na nagbubukas ng isang third-party na page, walang natukoy na code injection. Gayunpaman, kapag inuulit ang parehong karanasan sa Instagram, Messenger, Facebook sa iOS at Android, pinapayagan ng tool ang pagpasok ng ilang linya ng injected JavaScript code pagkatapos buksan ang page sa browser na nakapaloob sa mga application na ito.

Ayon sa mananaliksik, ang external na JavaScript file na ini-inject ng Instagram app (connect.facebook.net/en_US/pcm.js), na isang code upang lumikha ng isang tulay upang makipag-usap sa host application.

Higit pang mga detalye, Natuklasan ng imbestigador ang sumusunod:

Ang Instagram ay nagdaragdag ng bagong tagapakinig ng kaganapan upang makakuha ng mga detalye sa tuwing pipili ang user ng teksto sa website. Ito, kasama ng pakikinig sa mga screenshot, ay nagbibigay sa Instagram ng kumpletong pangkalahatang-ideya ng partikular na impormasyong pinili at ibinahagi. ang Instagram app ay tumitingin ng isang item na may id iab-pcm-sdk na malamang na tumutukoy sa "In App Browser".
Kung walang nakitang elementong may id iab-pcm-sdk, gagawa ang Instagram ng bagong elemento ng script at itatakda ang source nito sa https://connect.facebook.net/en_US/pcm.js
Pagkatapos ay hahanapin nito ang unang elemento ng script sa iyong website upang ipasok ang JavaScript pcm file bago lang
Naghahanap din ang Instagram ng mga iframe sa website, ngunit walang nakitang impormasyon sa kung ano ang ginagawa nito.

Mula doon, Ipinaliwanag ni Krause na ang pag-iniksyon ng mga custom na script sa mga third party na website ay maaaring, kahit na walang ebidensyang magpapatunay na ginagawa ito ng kumpanya, payagan ang Meta na subaybayan ang lahat ng mga pakikipag-ugnayan ng user, gaya ng mga pakikipag-ugnayan sa bawat button at link, mga seleksyon ng text, mga screenshot, at lahat ng input ng form gaya ng mga password, address, at numero ng credit card. Gayundin, walang paraan upang i-disable ang custom na browser na nakapaloob sa mga app na pinag-uusapan.

Matapos mailathala ang pagtuklas na ito, Magre-react sana ang Meta na nagsasabi na ang pag-iniksyon ng code na ito ay makakatulong upang magdagdag ng mga kaganapan, tulad ng mga online na pagbili, bago sila gamitin para sa naka-target na advertising at mga hakbang para sa Facebook platform. Iniulat na idinagdag ng kumpanya na "para sa mga pagbiling ginawa sa pamamagitan ng browser ng app, humihingi kami ng pahintulot ng user na i-save ang impormasyon ng pagbabayad para sa mga layunin ng autofill."

Ngunit para sa mananaliksik, walang lehitimong dahilan upang isama ang isang browser sa mga aplikasyon ng Meta at pilitin ang mga user na manatili sa browser na iyon kapag gusto nilang mag-browse ng iba pang mga site na walang kinalaman sa mga aktibidad ng kumpanya.

Bilang karagdagan, ang kasanayang ito ng pag-iniksyon ng code sa mga pahina ng iba pang mga website ay bubuo ng mga panganib sa ilang antas:

  • Privacy at analytics: Literal na masusubaybayan ng host app ang lahat ng nangyayari sa website, gaya ng bawat pagpindot, keystroke, pag-scroll sa gawi, anong content ang kinopya at i-paste, at ang data na tiningnan bilang mga online na pagbili.
  • Pagnanakaw ng mga kredensyal ng user, pisikal na address, API key, atbp.
  • Mga Ad at Referral: Maaaring mag-inject ng mga ad ang host app sa website, o i-override ang ads API key para magnakaw ng kita mula sa host app, o i-override ang lahat ng URL para magsama ng referral code.
  • Seguridad: Ang mga browser ay gumugol ng mga taon sa pag-optimize ng seguridad ng karanasan sa web ng user, tulad ng pagpapakita ng status ng pag-encrypt ng HTTPS, babala sa user tungkol sa mga hindi naka-encrypt na website, atbp.
  • Ang pag-iniksyon ng karagdagang JavaScript code sa isang third party na website ay maaaring magdulot ng mga isyu na maaaring masira ang website
  • Hindi available ang mga extension ng browser at user content blocker.
  • Ang deep linking ay hindi gumagana nang maayos sa karamihan ng mga kaso.
  • Kadalasan ay hindi madaling magbahagi ng link sa pamamagitan ng iba pang mga platform (hal. email, AirDrop, atbp.)

Sa wakas Kung interesado kang malaman ang tungkol dito, maaari kang kumunsulta ang mga detalye sa sumusunod na link.


Iwanan ang iyong puna

Ang iyong email address ay hindi nai-publish. Mga kinakailangang patlang ay minarkahan ng *

*

*

  1. Responsable para sa data: Miguel Ángel Gatón
  2. Layunin ng data: Kontrolin ang SPAM, pamamahala ng komento.
  3. Legitimation: Ang iyong pahintulot
  4. Komunikasyon ng data: Ang data ay hindi maiparating sa mga third party maliban sa ligal na obligasyon.
  5. Imbakan ng data: Ang database na naka-host ng Occentus Networks (EU)
  6. Mga Karapatan: Sa anumang oras maaari mong limitahan, mabawi at tanggalin ang iyong impormasyon.