Hedef, Facebook ve Instagram'ın ana şirketi, tüm silahları kullanmayı bırakmaz etkili olduğunu düşündükleri "gizlilik" hedeflerinize ulaşmak için ve şimdi, uygulamalarına gömülü tarayıcıya kod enjekte ederek web'deki kullanıcıları izleme uygulamaları için yeniden seçildi.
Bu konu kamuoyunun dikkatine sunuldu. felix kraus, bir gizlilik araştırmacısı. Bu sonuca varırken, Felix Krause JavaScript kodunun enjekte edilip edilmediğini tespit edebilen bir araç tasarladı Instagram, Facebook ve Messenger uygulamalarında kullanıcı kendisini uygulamanın dışındaki bir sayfaya götüren bir bağlantıyı tıkladığında yerleşik tarayıcıda açılan sayfada.
Telegram uygulamasını açtıktan ve üçüncü taraf sayfasını açan bir bağlantıya tıkladıktan sonra herhangi bir kod yerleştirme algılanmadı. Ancak, iOS ve Android'de Instagram, Messenger, Facebook ile aynı deneyimi tekrarlarken, araç, sayfayı bu uygulamalarda yerleşik tarayıcıda açtıktan sonra birkaç satır enjekte JavaScript kodu eklemeye izin verdi.
Araştırmacıya göre, Instagram uygulamasının enjekte ettiği harici JavaScript dosyası (connect.facebook.net/en_US/pcm.js), ana bilgisayar uygulamasıyla iletişim kurmak için bir köprü oluşturma kodudur.
Daha fazla detay, Araştırmacı şunları keşfetti:
Instagram, kullanıcı web sitesinde metin seçtiğinde ayrıntıları almak için yeni bir olay dinleyicisi ekliyor. Bu, ekran görüntülerini dinlemeyle birleştiğinde, Instagram'a seçilen ve paylaşılan belirli bilgilere tam bir genel bakış sağlar. Instagram uygulaması, muhtemelen "Uygulama İçi Tarayıcı" anlamına gelen iab-pcm-sdk kimliğine sahip bir öğeyi kontrol eder.
iab-pcm-sdk kimliğine sahip bir öğe bulunamazsa, Instagram yeni bir komut dosyası öğesi oluşturur ve kaynağını https://connect.facebook.net/en_US/pcm.js olarak ayarlar.
Ardından, JavaScript pcm dosyasını hemen önce eklemek için web sitenizdeki ilk komut dosyası öğesini bulur.
Instagram da web sitesinde iframe arıyor, ancak ne yaptığına dair hiçbir bilgi bulunamadı.
Oradan, Krause, üçüncü taraf web sitelerine özel komut dosyaları eklemenin, şirketin bunu yaptığına dair herhangi bir kanıt olmasa bile, Meta'nın tüm kullanıcı etkileşimlerini izlemesine izin verin, her düğme ve bağlantıyla etkileşimler, metin seçimleri, ekran görüntüleri ve parolalar, adresler ve kredi kartı numaraları gibi tüm form girişleri gibi. Ayrıca, söz konusu uygulamalarda yerleşik olarak bulunan özel tarayıcıyı devre dışı bırakmanın bir yolu yoktur.
Bu keşfin yayınlanmasından sonra, Meta, bu kodun enjeksiyonunun olay eklemeye yardımcı olacağını belirterek tepki verirdi, Facebook platformu için hedeflenen reklamlar ve önlemler için kullanılmadan önce çevrimiçi satın almalar gibi. Şirket, "uygulamanın tarayıcısı üzerinden yapılan satın alma işlemlerinde, otomatik doldurma amacıyla ödeme bilgilerini kaydetmek için kullanıcıdan onay istiyoruz" diye ekledi.
Ama araştırmacı için, bir tarayıcıyı Meta uygulamalarına entegre etmek için meşru bir neden yoktur ve firmanın faaliyetleriyle ilgisi olmayan diğer sitelere göz atmak istediklerinde kullanıcıları o tarayıcıda kalmaya zorlamak.
Ayrıca, diğer web sitelerinin sayfalarına bu kod enjekte etme uygulaması, çeşitli düzeylerde riskler oluşturacaktır:
- Gizlilik ve analitik: Ana uygulama, her dokunuş, tuş vuruşu, kaydırma davranışı, hangi içeriğin kopyalanıp yapıştırıldığı ve çevrimiçi satın alma olarak görüntülenen veriler gibi web sitesinde gerçekleşen her şeyi tam anlamıyla izleyebilir.
- Kullanıcı kimlik bilgilerinin, fiziksel adreslerin, API anahtarlarının vb. çalınması.
- Reklamlar ve Yönlendirmeler: Ana uygulama, web sitesine reklam enjekte edebilir veya ana bilgisayar uygulamasından geliri çalmak için reklamlar API anahtarını geçersiz kılabilir veya bir yönlendirme kodu eklemek için tüm URL'leri geçersiz kılabilir.
- Güvenlik: Tarayıcılar, HTTPS şifreleme durumunu görüntüleme, kullanıcıyı şifrelenmemiş web siteleri hakkında uyarma vb. gibi kullanıcının web deneyiminin güvenliğini optimize etmek için yıllarını harcamıştır.
- Üçüncü taraf bir web sitesine ek JavaScript kodu eklemek, web sitesini bozabilecek sorunlara neden olabilir
- Tarayıcı uzantıları ve kullanıcı içeriği engelleyiciler kullanılamaz.
- Derin bağlantı çoğu durumda iyi çalışmaz.
- Bir bağlantıyı diğer platformlar (örn. e-posta, AirDrop, vb.) üzerinden paylaşmak genellikle kolay değildir.
Nihayet Bununla ilgili daha fazla bilgi edinmek istiyorsanız, danışabilirsin aşağıdaki bağlantıdaki ayrıntılar.