Эксплойты в браузерах Facebook и Instagram выявляют проблемы с конфиденциальностью пользователей

facebook instagram в браузере приложения раскрывает новости о конфиденциальности
Сбор и продажа пользовательских данных Facebook в рекламных целях сильно пострадали, когда Apple представила свою функцию прозрачности отслеживания приложений (ATT), при этом Facebook прогнозирует, что в этом году она потеряет 10 миллиардов долларов дохода . Тем не менее, похоже, что Meta, материнская компания Facebook, все еще может иметь в рукаве некоторые хитрости для отслеживания поведения. Новое исследование показывает, что мобильные приложения Facebook, Instagram и Messenger внедряют пользовательский скрипт через свои браузеры в приложениях.

Некоторые мобильные приложения открывают ссылки во встроенном браузере, а не в пользовательском браузерном приложении по умолчанию. В случае iOS браузерным приложением по умолчанию является собственный веб-браузер Apple Safari, если только пользователи не изменят его в настройках устройства. Когда разработчики приложений хотят, чтобы их пользователи ненадолго просматривали веб-сайты, не переходя в приложение Safari, Apple рекомендует разработчикам использовать SFSafariViewController, который открывает ограниченную область просмотра Safari. Тем не менее, Apple не запрещает разработчикам приложений встраивать собственные веб-браузеры в свои приложения, хотя компания не одобряет использование этой техники.

facebook instagram в браузере приложения раскрывает проблемы конфиденциальности телеграмма instagram сравнение новости
Веб-просмотр Telegram (слева) и веб-просмотр Instagram (справа) (Источник: Феликс Краузе )

Meta использует это преимущество, создавая собственные веб-браузеры в своих мобильных приложениях Facebook, Instagram и Messenger, которые внедряют JavaScript в веб-страницы. Исследователь по имени Феликс Краузе создал инструмент для обнаружения внедрения JavaScript и открыл его в различных мобильных приложениях. Как и ожидалось, приложения, использующие SFSafariViewController от Apple, такие как Telegram, не внедряют JavaScript. Однако инструмент Краузе обнаружил внедрение JavaScript при открытии в пользовательских веб-браузерах, встроенных в мобильные приложения Facebook, Instagram и Messenger.

Сначала Краузе подумал, что эти настраиваемые встроенные браузеры могут внедрять метапиксель, представляющий собой фрагмент кода JavaScript, который отслеживает поведение пользователей на разных веб-сайтах. Тем не менее, Meta связалась с исследователем по электронной почте, чтобы уточнить, что внедренный код JavaScript — это не Meta Pixel, а скрипт с именем pcm.js. Код pcm.js включает комментарии, в которых обсуждается сбор документов для сценариев изображений и пометка их URL-адресом отслеживания, но мы не можем расшифровать, что делает весь код. Согласно Meta, этот скрипт помогает браузерам в приложениях учитывать настройки прозрачности отслеживания приложений пользователей в случае, если посещаемые веб-сайты содержат метапиксель.

Независимо от того, что делает этот конкретный сценарий, это исследование поднимает более широкие проблемы конфиденциальности и безопасности. Приложения Facebook, Instagram и Messenger демонстрируют, что приложения могут быть упакованы со своими собственными веб-браузерами, которые внедряют пользовательский код JavaScript на веб-страницы. Разработчики приложений, которые хотят собирать информацию о поведении своих пользователей на посещаемых ими веб-сайтах, могут внедрить JavaScript, который сделает именно это. Возможно, более зловещим приложением для этой техники может быть вредоносное приложение со встроенным веб-браузером, которое внедряет код для кражи учетных данных для входа или другой конфиденциальной информации, которую пользователи вводят в веб-формы.

К счастью, большинства встроенных браузеров можно избежать с помощью опции, позволяющей пользователям открывать веб-страницы в браузере по умолчанию. В случае, если эта опция не предлагается, пользователи могут захотеть вручную скопировать ссылки и вставить их в выбранный ими веб-браузер.

Источник (англ.)

Поставить оценку
Кофебрейкер | Интернет-журнал