目標, Facebook 和 Instagram 的母公司, 不會停止使用所有武器 他們認為有效的 實現您的“隱私”目標 現在,它再次被單獨挑選出來,用於通過將代碼注入嵌入在其應用程序中的瀏覽器來跟踪 Web 上的用戶。
這件事引起了公眾的注意 費利克斯克勞斯,隱私調查員。 在得出這個結論時,Felix Krause 設計了一個能夠檢測 JavaScript 代碼是否被注入的工具 當用戶單擊將他們帶到應用程序外部頁面的鏈接時,在 Instagram、Facebook 和 Messenger 應用程序的內置瀏覽器中打開的頁面上。
打開 Telegram 應用程序並單擊打開第三方頁面的鏈接後,未檢測到代碼注入。 然而,當在 iOS 和 Android 上使用 Instagram、Messenger、Facebook 重複相同的體驗時,該工具允許在這些應用程序內置的瀏覽器中打開頁面後插入幾行注入的 JavaScript 代碼。
據研究員說 Instagram 應用程序注入的外部 JavaScript 文件是 (connect.facebook.net/en_US/pcm.js),這是用於創建與主機應用程序通信的橋接器的代碼。
更多細節, 調查員發現了以下情況:
Instagram 正在添加一個新的事件偵聽器,以在用戶在網站上選擇文本時獲取詳細信息。 這與收聽屏幕截圖相結合,為 Instagram 提供了所选和共享的特定信息的完整概覽。 Instagram 應用程序會檢查 ID 為 iab-pcm-sdk 的項目,該項目可能指的是“在應用程序瀏覽器中”。
如果沒有找到 id 為 iab-pcm-sdk 的元素,Instagram 將創建一個新的腳本元素並將其源設置為 https://connect.facebook.net/en_US/pcm.js
然後它會在您的網站上找到第一個腳本元素,以便在之前插入 JavaScript pcm 文件
Instagram 也在網站上尋找 iframe,但沒有找到關於它的作用的信息。
從那裡 Krause 解釋說,將自定義腳本注入第三方網站可以,即使沒有證據證實該公司正在這樣做, 允許 Meta 監控所有用戶交互, 例如與每個按鈕和鏈接的交互、文本選擇、屏幕截圖以及所有表單輸入,例如密碼、地址和信用卡號。 此外,無法禁用相關應用程序中內置的自定義瀏覽器。
這一發現發表後, Meta 會做出反應,指出注入此代碼將有助於添加事件, 例如在線購買,在它們被用於 Facebook 平台的定向廣告和措施之前。 據報導,該公司補充說,“對於通過應用程序的瀏覽器進行的購買,我們要求用戶同意保存支付信息以用於自動填充目的。”
但對於研究人員來說, 沒有正當理由將瀏覽器集成到 Meta 應用程序中 並在用戶想要瀏覽與公司活動無關的其他網站時,強制他們留在該瀏覽器中。
此外,這種將代碼注入其他網站頁面的做法會在多個層面產生風險:
- 隱私和分析:主機應用程序可以從字面上跟踪網站上發生的所有事情,例如每次觸摸、按鍵、滾動行為、複製和粘貼的內容以及被視為在線購買的數據。
- 竊取用戶憑證、物理地址、API 密鑰等。
- 廣告和推薦:宿主應用可以將廣告注入網站,或覆蓋廣告 API 密鑰以從宿主應用中竊取收入,或覆蓋所有 URL 以包含推薦代碼。
- 安全性:瀏覽器花了數年時間優化用戶 Web 體驗的安全性,例如顯示 HTTPS 加密狀態、警告用戶未加密的網站等。
- 將額外的 JavaScript 代碼注入第三方網站可能會導致可能破壞網站的問題
- 瀏覽器擴展和用戶內容攔截器不可用。
- 在大多數情況下,深度鏈接效果不佳。
- 通過其他平台(例如電子郵件、AirDrop 等)共享鏈接通常並不容易。
終於 如果您有興趣了解更多信息, 你可以諮詢 以下鏈接中的詳細信息。