Méta, l’entreprise matriz de Facebook et Instagram, pas deja de utilizar todas las armas que consideran eficaces para lograr sus objetivos en materia de «privacidad» y ahora acaba de ser señalada nuevamente por prácticas de rastreo de usuarios en la web mediante la inyección de código en el navegador integrado en sus aplicaciones.
Este asunto fue puesto en conocimiento del público en general por Félix Krause, un enquêteur de confidentialité. Para llegar a esta conclusión, Felix Krause diseñó una herramienta capaz de detectar si se inyecta código JavaScript dans la page que se ouvre dans le navigateur intégré dans les applications de Instagram, Facebook et Messenger cuando un usuario hace clic en un enlace que lo redirige a una página fuera de la aplicación.
Après avoir ouvert l’application Telegram y hacer clic en un enlace qu’abre una página de un tercero, no se detectó ninguna inyección de código. Dans l’embargo, cuando repitió la misma experience con Instagram, Messenger, Facebook en iOS y Android la herramienta permitió insertar varias líneas de código JavaScript inyectado después de ouvrir la page en el navegador integrado en estas aplicaciones.
Según el investigateur, el archivo JavaScript externe que inyecta l’application de Instagram es (connect.facebook.net/en_US/pcm.js), que es un código para crear un puente para comunicarse con la aplicación host.
Avec plus de détails, l’investigateur décrit le suivant :
Instagram est agrégé un nouveau détecteur d’événements pour obtenir les détails cada vez que l’utilisateur sélectionne le texte sur le site Web. Esto, combinado con escuchar capturas de pantalla, le da a Instagram una visión general completea de la information específica que se seleccionó y compartió l’application de vérification d’Instagram contient un élément avec l’identifiant iab-pcm-sdk qui se réfère probablement à « In App Browser ».
Si aucun élément ne se trouve avec l’identifiant iab-pcm-sdk, Instagram crée un nouvel élément de sécurité de commandes et establece su fuente en https://connect.facebook.net/en_US/pcm.js
Luego encuentra el primer elemento de secuencia de comandos en su site web para insertar el archivo pcm JavaScript justo antes
Instagram est aussi buscando iframes en el site web, pero no se encontró información sobre lo que hace.
A partir de ahí, Krause explica que inyectar scripts personalizados in sitios web de terceros podríaincluso si no hay evidencia que confirm que la empresa lo está haciendo, permettre que Meta monitoree todas las interacciones de los usuarios, como interacciones con cada botón y enlace, selecciones de texto, capturas de pantalla y todas las entradas de formularios, como contraseñas, direcciones y números de tarjetas de crédito. Además, no hay forma de desactivar el navegador personalizado integrado en las aplicaciones en cuestión.
Después de la publicación de este descubrimiento, Meta habría reaccionado afirmando que la inyección de este código ayudaría a agregar eventos, como compras en línea, antes de que se utilicen para publicidad dirigida y medidas para la plataforma de Facebook. Según los informes, la compañía agregó que “para las compras realizadas a través del navegador de la aplicación, solicitamos el consentimiento del usuario para guardar la información de pago con fines de autocompletar”.
Pero para el enquêteur, no existe una razón legítima para integrar un navegador en las aplicaciones de Meta y obligar a los usuarios a permanecer en ese navegador cuando quieren navegar en otros sitios que no tienen nada que ver con las actividades de la firma.
Además, esta práctica de inyectar código en páginas de otros sitios web generaría riesgos en varios niveles :
- Privacidad y análisis : l’application hôte puede rastrear literalmente todo lo que sucede en el sitio web, como cada toque, pulsación de tecla, comportamiento de desplazamiento, qué contenido se copia y pega, y los datos se ven como compras en línea.
- Robo de credenciales de usuario, direcciones físicas, claves API, etc.
- Anuncios y referencias : l’hôte de l’application peut inyectar anuncios en el site web, o anular la clave API de anuncios para robar ingresos de l’aplicación host, o anular todas las URL para incluir un código de referencia.
- Seguridad : los navegadores llevan años optimizando la seguridad de la experiencia del usuario en la web, como mostrar el estado del cifrado HTTPS, advertir al usuario sobre sitios web no cifrados, etc.
- Inyectar código JavaScript adicional en un site web de terceros puede causar problemas que pueden romper el sitio web
- Les extensions du navigateur et les bloqueurs du contenu de l’utilisateur ne sont pas disponibles.
- Los enlaces profundos no funcionan bien en la mayoría de los casos.
- A menudo, no es fácil compartir un enlace a través de otras plataformas (por ejemplo, correo electrónico, AirDrop, etc.)
Enfin si estás interesado en poder conocer más al respecto, puedes consultar los detalles en el siguiente enlace.
