Новости Software

Встроенный в приложения Facebook* и Instagram* браузер добавляет код слежения на все страницы

Браузер, встроенный в мобильные приложения Facebook* и Instagram*, при открытии ссылок из соцсетей добавляет на все страницы код JavaScript, позволяющий владеющей сервисами компании Meta* отслеживать действия пользователей на этих страницах. Об этом сообщил Феликс Краузе (Felix Krause), эксперт по кибербезопасности и бывший инженер Google.

 Источник изображения: Tumisu / pixabay.com

Источник изображения: Tumisu / pixabay.com

При попытке перехода по внешним ссылкам из приложений Facebook* и Instagram* соответствующие веб-страницы открываются во встроенном в приложение браузере, который контролируется Meta*, а не в том, что выбрал пользователь. На каждую открываемую через встроенный браузер страницу без ведома пользователя добавляется код, помогающий отслеживать все его действия: нажатия кнопок и ссылок, выделение текста, создание снимков экрана, а также данные, которые вводятся в формы, включая пароли, адреса и номера банковских карт.

Господин Краузе выявил проблему, когда разработал инструмент, отслеживающий любые изменения кода сайта, вносимые браузером. Этот инструмент не указал ни на что подозрительное при испытаниях на большинстве браузеров и приложений, но в случае Facebook* и Instagram* обнаруживаются 18 строк кода и подключение внешнего JS-файла, посредством которого в Meta* создаётся профиль интересов для каждого пользователя.

В самой компании отрицать подобную модификацию веб-страниц не стали, но отметили, что пользователи могут отказаться от отслеживания своих действий, а собираемая информация используется для работы с целевой рекламой: сбора данных перед её показом или анализа поведенческих факторов после переходов, чтобы оценить конверсию. Схожие возможности предлагает аналитический инструмент Meta* Pixel, однако его код устанавливается владельцами сайтов добровольно. При этом подчёркивается, что браузер, встроенный в мессенджер WhatsApp, открываемых страниц не модифицирует.

И если у пользователей соцсетей не получается защититься от подобной слежки своими силами, господин Краузе предлагает способ, который позволит владельцам сайтов защитить посетителей своих ресурсов. В код страницы рекомендуется добавить пару HTML-тегов с определёнными значениями атрибутов id, а также несколько строк JavaScript — это заставляет встроенные в приложения Meta* браузеры «думать», что код слежения уже присутствует на странице.


* Внесена в перечень общественных объединений и религиозных организаций, в отношении которых судом принято вступившее в законную силу решение о ликвидации или запрете деятельности по основаниям, предусмотренным Федеральным законом от 25.07.2002 № 114-ФЗ «О противодействии экстремистской деятельности».

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме
window-new
Soft
Hard
Тренды 🔥
Готический экшен-роглайк Vampire Survivors выберется из раннего доступа в октябре и обзаведётся поддержкой русского языка 34 мин.
Видео: высокие ставки, опасные тайны и новые союзники в сюжетном трейлере Mario + Rabbids Sparks of Hope 41 мин.
«Пляжный эпизод» отправит персонажей серии To the Moon на отдых в курортном отеле 47 мин.
Научно-фантастическое приключение Jett: The Far Shore доберётся до Steam вместе с бесплатным сюжетным дополнением 51 мин.
Ежемесячные подборки для подписчиков Xbox Live Gold остались без игр с Xbox 360 — октябрьский набор включает всего два проекта 55 мин.
Приключенческая головоломка про манипулирование временем The Entropy Centre предложит раскрыть тайну гибели Земли в начале ноября 2 ч.
RuStore стал крупнейшим по размеру аудитории отечественным маркетплейсом ПО 2 ч.
«Инфосистемы Джет» открывает лабораторию ИТ-инфраструктуры на российских решениях 10 ч.
Саудовская Аравия намерена стать центром киберспорта и потратит на это $38 млрд 11 ч.
Расширение Dragonflight для World of Warcraft и правда стартует 28 ноября 13 ч.