Meta, la empresa matriz de Facebook e Instagram, supuestamente está inyectando código JS en sitios web para rastrear a los usuarios, según un descubrimiento reciente del investigador Felix Krause.

¿Cómo puede Meta rastrear a los usuarios en la web desde estas aplicaciones de Facebook, Instagram y Messenger?

Felix Krause, el investigador de privacidad que fundó la herramienta de desarrollo de aplicaciones que Google adquirió en 2017, llamó la atención del público sobre este tema. Para llegar a esta conclusión, Felix Krause diseñó una herramienta capaz de detectar si se ha ingresado código JavaScript en una página. Si se abre o no en el navegador integrado en las aplicaciones de Instagram, Facebook y Messenger cuando un usuario hace clic en un enlace que lo redirige a una página fuera de la aplicación. Después de abrir la aplicación Telegram y hacer clic en un enlace que abre una página de un tercero, no se detectó ninguna entrada de código. Sin embargo, cuando repitió la misma experiencia con Instagram, Messenger y Facebook en iOS y Android, la herramienta permitió la inyección de varias líneas de código JavaScript después de abrir la página en el navegador integrado en estas aplicaciones. Pero no se ha agregado dicho código al navegador incorporado de WhatsApp.

Según el investigador, el archivo JavaScript externo que ingresa la aplicación de Instagram es (connect.facebook.net/en_US/pcm.js) que es un código para crear un puente para comunicarse con la aplicación host. Con más detalle, el investigador descubrió lo siguiente:

• Instagram agrega un nuevo detector de eventos para obtener detalles cuando un usuario selecciona un texto en el sitio web. Esto, junto con escuchar capturas de pantalla, le da a Instagram una visión completa de la información específica que se ha formateado y compartido;
• La aplicación de Instagram verifica si hay un elemento con id iab-pcm-sdk que pueda apuntar al navegador de aplicaciones;
• Si no se encuentra un elemento con id iab-pcm-sdk, Instagram crea un nuevo elemento de secuencia de comandos y establece su fuente enhttps://connect.facebook.net/en_US/pcm.js
• Luego encuentra el primer elemento de secuencia de comandos en su sitio web para insertar el archivo pcm javascript justo antes de eso;
• Instagram también busca iframes en el sitio web, pero no se encontró información sobre lo que hace.

A partir de ahí, Krause explica que insertar texto personalizado en sitios web de terceros puede, incluso si no hay evidencia de que la empresa lo esté haciendo, permitir que Meta monitoree todas las interacciones de los usuarios, como interacciones con cada botón y enlace, selecciones de texto, capturas de pantalla. y todas las entradas del formulario, como contraseñas, direcciones y números de tarjetas de crédito. Además, no hay forma de deshabilitar el navegador personalizado integrado en las respectivas aplicaciones.

Después de que se publicó el descubrimiento, Meta supuestamente respondió diciendo que ingresar este código ayudaría con eventos grupales, como compras en línea, antes de que se usara para publicidad y mediciones dirigidas a la plataforma de Facebook. Según se informa, la compañía agregó que para las compras en el navegador dentro de la aplicación, requerimos el consentimiento del usuario para guardar la información de pago con fines de autocompletar.

Pero para el investigador, no existe una razón legítima para integrar el navegador en las aplicaciones Meta y obligar a los usuarios a permanecer en ese navegador cuando quieran navegar por otros sitios web no relacionados con las actividades de la empresa. Además, la práctica de inyectar código en páginas de otros sitios web puede aumentar el riesgo en varios niveles:

• Privacidad y análisis: la aplicación host puede rastrear literalmente todo lo que sucede en el sitio web, como cada clic, pulsación de tecla, comportamiento de desplazamiento, contenido copiado y pegado, y datos vistos, como compras en línea.
• Robar credenciales de usuario, direcciones físicas, claves API, etc.
• Anuncios y referencias: la aplicación host puede insertar anuncios en el sitio web, omitir la clave API de anuncios para robar ingresos de la aplicación host u omitir todas las URL para incluir un código de referencia.
• Seguridad: los navegadores han pasado años mejorando la seguridad de la experiencia del usuario en la web, como mostrar el estado del cifrado HTTPS, advertir al usuario sobre sitios web no cifrados, etc.
• Ingresar código JavaScript adicional en un sitio web de un tercero puede causar problemas que pueden deshabilitar el sitio web
• Las extensiones del navegador y los bloqueadores de contenido del usuario no están disponibles.
• Los enlaces profundos no funcionan bien en la mayoría de los casos.
• A menudo no es fácil compartir un enlace a través de otras plataformas (por ejemplo, correo electrónico, AirDrop, etc.)

¿Cómo te proteges como usuario?

Si desea escapar del seguimiento de Meta a través de su navegador de aplicaciones, primero puede abrir la página web en un navegador fuera de la aplicación. Por lo general, el botón le permite hacer esto. Si este botón no está disponible, deberá copiar y pegar la URL para abrir el enlace en el navegador de su elección.

Otra solución bastante simple que le permite escapar de la apariencia de e Meta es usar la versión web de estas aplicaciones.

¿Cómo te proteges como proveedor de un sitio web?

Mientras espera que se resuelva este problema, si Meta decide hacerlo, usted, como desarrollador, puede engañar fácilmente a las aplicaciones de Instagram, Facebook y Messenger para que crean que el código de seguimiento ya está instalado. Para hacer esto, simplemente incluya lo siguiente en su código HTML:

<span id="iab-pcm-sdk"></span>
<span id="iab-autofill-sdk"></span>

Además, para evitar que Instagram rastree las opciones textuales de un usuario en su sitio web, puede agregar este código:

const originalEventListener = document.addEventListener
document.addEventListener = function(a, b) {
    if (b.toString().indexOf("messageHandlers.fb_getSelection") > -1) {
        return null;
    }
    return originalEventListener.apply(this, arguments);
}

Esto no resolverá el problema real de que Instagram ejecute código JavaScript en su sitio web, pero al menos no se ingresará ningún script JS adicional y se rastrearán menos datos.

Observamos que en iOS, después de introducir el requisito de que los desarrolladores de aplicaciones soliciten permiso para rastrear a los usuarios a través de las aplicaciones, muchos usuarios se negaron a dar su consentimiento para que se rastrearan las aplicaciones, lo que redujo los ingresos de $10 mil millones de Facebook. . Sobre esta base, podemos entender y legitimar las acciones de la empresa para asegurar su sostenibilidad. Pero, ¿tiene que ser a expensas de la privacidad de los usuarios?

fuente : Publicado por investigadorY el Texto logrado por Meta

¿Y usted?

¿Cuáles son sus comentarios sobre este último descubrimiento? ¿interesante? ¿Exagerar? ¿Preocuparse?

¿Le parece razonable que Meta inyecte código JS en páginas de sitios web de terceros sobre la base de recopilar algunos datos inofensivos y, sobre todo, sin informar a los usuarios?

¿Podría este último descubrimiento llevarte a dejar de usar el navegador integrado de Facebook e Instagram?

Ver también

Facebook planea deliberadamente espiar a los usuarios, nuevos correos electrónicos secretos de la administración expuestos
Violación de datos: Facebook no advirtió a los usuarios sobre los riesgos conocidos hasta 2018 y fue demandado nuevamente
El CEO de Facebook respaldó el intercambio de datos de clientes a pesar del escepticismo, según los documentos incautados por los parlamentarios, lamentó su elección.
Meta amenaza con sacar a Facebook e Instagram del mercado europeo si al grupo ya no se le permite compartir datos de usuarios europeos con Estados Unidos