Meta không ngừng đặt ngón tay vào tôi và tiếp tục theo dõi người dùng 

Ghi bàn, công ty mẹ của Facebook và Instagram, không ngừng sử dụng tất cả các loại vũ khí mà họ cho là hiệu quả để đạt được mục tiêu "quyền riêng tư" của bạn và bây giờ nó vừa được tái sử dụng cho các phương pháp theo dõi người dùng trên web bằng cách đưa mã vào trình duyệt được nhúng trong ứng dụng của họ.

Vấn đề này đã thu hút sự chú ý của công chúng bởi Felix Kraus, một nhà điều tra về quyền riêng tư. Khi đi đến kết luận này, Felix Krause đã thiết kế một công cụ có khả năng phát hiện nếu mã JavaScript được đưa vào trên trang mở ra trong trình duyệt tích hợp trong ứng dụng Instagram, Facebook và Messenger khi người dùng nhấp vào liên kết đưa họ đến một trang bên ngoài ứng dụng.

Sau khi mở ứng dụng Telegram và nhấp vào liên kết mở ra trang của bên thứ ba, không phát hiện thấy việc chèn mã nào. Tuy nhiên, khi lặp lại trải nghiệm tương tự với Instagram, Messenger, Facebook trên iOS và Android, công cụ cho phép chèn một số dòng mã JavaScript được chèn vào sau khi mở trang trong trình duyệt được tích hợp sẵn trong các ứng dụng này.

Theo nhà nghiên cứu, tệp JavaScript bên ngoài mà ứng dụng Instagram đưa vào là (connect.facebook.net/en_US/pcm.js), là mã để tạo cầu nối giao tiếp với ứng dụng chủ.

Thêm chi tiết, Điều tra viên đã phát hiện ra những điều sau:

Instagram đang thêm một trình nghe sự kiện mới để nhận thông tin chi tiết bất cứ khi nào người dùng chọn văn bản trên trang web. Điều này, kết hợp với việc lắng nghe ảnh chụp màn hình, mang lại cho Instagram cái nhìn tổng quan đầy đủ về thông tin cụ thể đã được chọn và chia sẻ. ứng dụng Instagram kiểm tra một mục có id iab-pcm-sdk có khả năng đề cập đến “Trong trình duyệt ứng dụng”.
Nếu không tìm thấy phần tử có id iab-pcm-sdk, Instagram sẽ tạo một phần tử tập lệnh mới và đặt nguồn của nó thành https://connect.facebook.net/en_US/pcm.js
Sau đó, nó tìm phần tử tập lệnh đầu tiên trên trang web của bạn để chèn tệp pcm JavaScript ngay trước đó
Instagram cũng đang tìm kiếm iframe trên trang web, nhưng không tìm thấy thông tin nào về hoạt động của nó.

Từ đó Krause giải thích rằng việc đưa các tập lệnh tùy chỉnh vào các trang web của bên thứ ba có thể, ngay cả khi không có bằng chứng xác nhận rằng công ty đang làm như vậy, cho phép Meta giám sát tất cả các tương tác của người dùng, chẳng hạn như tương tác với từng nút và liên kết, lựa chọn văn bản, ảnh chụp màn hình và tất cả các đầu vào biểu mẫu như mật khẩu, địa chỉ và số thẻ tín dụng. Ngoài ra, không có cách nào để tắt trình duyệt tùy chỉnh được tích hợp trong các ứng dụng được đề cập.

Sau khi công bố khám phá này, Meta sẽ phản ứng khi nói rằng việc đưa mã này vào sẽ giúp thêm các sự kiện, chẳng hạn như mua hàng trực tuyến, trước khi chúng được sử dụng cho quảng cáo được nhắm mục tiêu và các biện pháp cho nền tảng Facebook. Công ty cho biết thêm rằng "đối với các giao dịch mua được thực hiện thông qua trình duyệt của ứng dụng, chúng tôi yêu cầu sự đồng ý của người dùng để lưu thông tin thanh toán cho mục đích tự động điền."

Nhưng đối với nhà nghiên cứu, không có lý do chính đáng nào để tích hợp trình duyệt vào các ứng dụng Meta và buộc người dùng ở lại trình duyệt đó khi họ muốn duyệt các trang web khác không liên quan đến hoạt động của công ty.

Ngoài ra, việc đưa mã vào các trang của các trang web khác sẽ tạo ra rủi ro ở một số cấp độ:

  • Quyền riêng tư và phân tích: Ứng dụng lưu trữ có thể theo dõi mọi thứ diễn ra trên trang web, chẳng hạn như mọi thao tác chạm, nhấn phím, hành vi cuộn, nội dung nào được sao chép và dán cũng như dữ liệu được xem như mua hàng trực tuyến.
  • Đánh cắp thông tin đăng nhập người dùng, địa chỉ thực, khóa API, v.v.
  • Quảng cáo và Giới thiệu: Ứng dụng lưu trữ có thể đưa quảng cáo vào trang web hoặc ghi đè khóa API quảng cáo để lấy cắp doanh thu từ ứng dụng lưu trữ hoặc ghi đè tất cả các URL để bao gồm mã giới thiệu.
  • Bảo mật: Các trình duyệt đã dành nhiều năm để tối ưu hóa tính bảo mật cho trải nghiệm web của người dùng, chẳng hạn như hiển thị trạng thái mã hóa HTTPS, cảnh báo người dùng về các trang web không được mã hóa, v.v.
  • Việc đưa mã JavaScript bổ sung vào trang web của bên thứ ba có thể gây ra sự cố có thể làm hỏng trang web
  • Tiện ích mở rộng trình duyệt và trình chặn nội dung người dùng không khả dụng.
  • Liên kết sâu không hoạt động tốt trong hầu hết các trường hợp.
  • Thường không dễ dàng chia sẻ một liên kết thông qua các nền tảng khác (ví dụ: email, AirDrop, v.v.)

Cuối cùng Nếu bạn muốn biết thêm về nó, bạn có thể tham khảo các chi tiết trong liên kết sau đây.


Hãy là người đầu tiên nhận xét

Để lại bình luận của bạn

địa chỉ email của bạn sẽ không được công bố. Các trường bắt buộc được đánh dấu bằng *

*

*

  1. Chịu trách nhiệm về dữ liệu: Miguel Ángel Gatón
  2. Mục đích của dữ liệu: Kiểm soát SPAM, quản lý bình luận.
  3. Hợp pháp: Sự đồng ý của bạn
  4. Truyền thông dữ liệu: Dữ liệu sẽ không được thông báo cho các bên thứ ba trừ khi có nghĩa vụ pháp lý.
  5. Lưu trữ dữ liệu: Cơ sở dữ liệu do Occentus Networks (EU) lưu trữ
  6. Quyền: Bất cứ lúc nào bạn có thể giới hạn, khôi phục và xóa thông tin của mình.