гол, материнська компанія Facebook і Instagram, не припиняє використовувати всю зброю які вони вважають ефективними для досягнення ваших цілей «конфіденційності». і тепер його щойно знову виділили для практики відстеження користувачів в Інтернеті шляхом введення коду в браузер, вбудований у їхні програми.
На це питання звернули увагу широкої громадськості Фелікс Краус, дослідник конфіденційності. Дійшовши такого висновку, Фелікс Краузе розробив інструмент, здатний виявляти введення коду JavaScript на сторінці, яка відкривається у вбудованому браузері в програмах Instagram, Facebook і Messenger, коли користувач клацає посилання, яке спрямовує його на сторінку поза програмою.
Після відкриття програми Telegram і натискання посилання, яке відкриває сторінку третьої сторони, ін’єкції коду не виявлено. Однак при повторенні того самого досвіду з Instagram, Messenger, Facebook на iOS і Android інструмент дозволяв вставляти кілька рядків ін’єктованого коду JavaScript після відкриття сторінки в браузері, вбудованому в ці програми.
На думку дослідника, зовнішній файл JavaScript, який вводить додаток Instagram (connect.facebook.net/en_US/pcm.js), який є кодом для створення мосту для зв’язку з головною програмою.
Детальніше, Слідчий виявив наступне:
Instagram додає новий прослуховувач подій, щоб отримувати деталі щоразу, коли користувач вибирає текст на веб-сайті. Це, у поєднанні з прослуховуванням скріншотів, дає Instagram повний огляд конкретної інформації, яка була вибрана та поширена. програма Instagram перевіряє елемент з ідентифікатором iab-pcm-sdk, який, імовірно, стосується «В браузері програм».
Якщо не знайдено жодного елемента з ідентифікатором iab-pcm-sdk, Instagram створює новий елемент сценарію та встановлює його джерело на https://connect.facebook.net/en_US/pcm.js
Потім він знаходить перший елемент сценарію на вашому веб-сайті, щоб вставити файл JavaScript pcm безпосередньо перед цим
Instagram також шукає iframe на веб-сайті, але інформації про те, що він робить, не знайдено.
Звідти Краузе пояснює, що впровадження спеціальних сценаріїв на сторонні веб-сайти може, навіть якщо немає доказів того, що компанія робить це, дозволити Meta контролювати всі взаємодії користувачів, як-от взаємодія з кожною кнопкою та посиланням, виділення тексту, знімки екрана та всі введення форм, як-от паролі, адреси та номери кредитних карток. Крім того, немає способу вимкнути спеціальний браузер, вбудований у відповідні програми.
Після публікації цього відкриття, Мета відреагувала б, заявивши, що впровадження цього коду допоможе додати події, наприклад онлайн-покупки, перш ніж використовувати їх для цільової реклами та заходів для платформи Facebook. Повідомляється, що компанія додала, що «для покупок, зроблених через браузер програми, ми просимо згоду користувача на збереження платіжної інформації для цілей автозаповнення».
Але для дослідника, немає законної причини інтегрувати браузер у мета-програми і змушувати користувачів залишатися в цьому браузері, коли вони хочуть переглядати інші сайти, які не мають нічого спільного з діяльністю фірми.
Крім того, така практика введення коду на сторінки інших веб-сайтів створить ризики на кількох рівнях:
- Конфіденційність і аналітика: хост-додаток може відстежувати буквально все, що відбувається на веб-сайті, наприклад кожен дотик, натискання клавіш, прокручування, який вміст копіюється та вставляється, а також дані, які розглядаються як онлайн-покупки.
- Крадіжка облікових даних користувача, фізичних адрес, ключів API тощо.
- Оголошення та реферали: хост-додаток може вставляти рекламу на веб-сайт або перевизначати ключ API реклами, щоб викрасти дохід із хост-додатка, або змінювати всі URL-адреси, щоб включити реферальний код.
- Безпека: браузери витратили роки на оптимізацію безпеки веб-доступу користувача, наприклад, відображення статусу шифрування HTTPS, попередження користувача про незашифровані веб-сайти тощо.
- Введення додаткового коду JavaScript на сторонній веб-сайт може спричинити проблеми, які можуть зламати веб-сайт
- Розширення веб-переглядача та засоби блокування вмісту користувача недоступні.
- Глибинні посилання в більшості випадків не працюють належним чином.
- Часто буває нелегко поділитися посиланням через інші платформи (наприклад, електронну пошту, AirDrop тощо).
В кінці кінців Якщо вам цікаво дізнатись більше про це, ви можете проконсультуватися деталі у наступному посиланні.