Meta iOS-alkalmazások, amelyeket azzal vádolnak, hogy kódot injektálnak webhelyekre • The Register

A Meta iOS-eszközökön futó Instagram- és Facebook-alkalmazásai JavaScript-kódot fecskendeznek be harmadik felek webhelyeibe egyéni alkalmazáson belüli böngészőikből, így hozzáférést biztosítanak számukra olyan adatokhoz, amelyek nem lennének elérhetők, ha az oldalak egy önálló WebKit-alapú iOS-böngészőben lennének betöltve. .

Az alkalmazáson belüli böngészők – a WebView nevű komponens segítségével natív Android- és iOS-kódban implementálva – lehetővé teszik a natív alkalmazások felhasználóinak, hogy anélkül kommunikáljanak a webhelyekkel, hogy elhagyják alkalmazásaikat és önálló böngészőalkalmazásokat nyitjanak meg. Erre a célra az iOS a WebKit keretrendszer részét képező WKWebView-t, valamint a SafariServices keretrendszer részét képező, újabb (és a személyes adatok védelmét jobban védő) SFSafariViewControllert kínálja.

A Meta alkalmazásai a WKWebView-ra támaszkodnak, amely a két lehetőség közül a jobban képes és testreszabható, mindkettő alternatívát jelent a webhivatkozások megnyitásához a Safari iOS verziójában.

“Ez számos kockázatot jelent a felhasználó számára, mivel a gazdaalkalmazás nyomon követheti a külső webhelyekkel való minden interakciót, az űrlapok minden bejegyzésétől, például jelszavaktól és címektől minden érintésig” – magyarázza Felix Krause fejlesztő, a fastlane.tools alapítója. egy blogbejegyzésben, amely feltárja a Meta alkalmazásainak adatvédelmi vonatkozásait.

Ezek a kockázatok magukban foglalják az olyan kellemetlenségeket, mint például a munkamenet-adatok hiánya a felhasználói bejelentkezéshez (további hitelesítés szükséges a tranzakciók során), valamint a mobilböngésző-bővítmények, például a jelszókezelők elérésének hiánya. A beszúrt kódok biztonsági és adatvédelmi problémákat is okozhatnak – képes lehet olvasni bármely weboldal tartalmát, amelyen fut, módosítani tudja a hirdetésazonosítókat, lekérheti a bejelentkezési hitelesítő adatokat, és így tovább.

Nincs arra utaló jel, hogy a beinjektált szkript (pcm.js) ezt teszi. Ha megbízik a Metában, akkor nem kell attól tartania, hogy a szkriptet újabb rosszindulatú szolgáltatásokkal módosítják. A Meta kijelenti, hogy az alkalmazásai által a webhelyekhez hozzáadott JavaScript-kód segít olyan események összegyűjtésében, mint például az online vásárlások célzott reklámozása és elemzése céljából.

“A kérdéses kód lehetővé teszi számunkra, hogy tiszteletben tartsuk az emberek adatvédelmi döntéseit azáltal, hogy segít összegyűjteni az eseményeket (például online vásárlást) a webhelyeken lévő pixelekből, mielőtt ezeket az eseményeket reklámozási vagy mérési célokra használnák fel” – mondja Andy Stone, a Meta kommunikációs igazgatója. . , Twitteren keresztül.

Krause az iOS Instagram- és Facebook-alkalmazásai által végrehajtott kódbefecskendezés elemzésében újra megvizsgálta az évek során általa és más webfejlesztők által sokszor megfogalmazott aggodalmakat.

Krause még 2018-ban hibajelentést is nyújtott be ezzel kapcsolatban az Apple-nek. “Ha lehetővé teszi az alkalmazások számára, hogy harmadik féltől származó webes tartalmakat alkalmazáson belüli webnézetben (WKWebView) jelenítsenek meg, az komoly biztonsági és adatvédelmi kockázatot jelent az iOS-felhasználók számára” – írta az Apple Privacy Radar hibakövető rendszerének és a nyilvános Open Radar webhelynek küldött beadványában. ami azért jött létre, mert az Apple rosszkedvűen ragaszkodott a titoktartáshoz.

Adatvédelem, hallottunk már róla

A probléma, ahogy a webfejlesztők látják, az, hogy a Meta alkalmazásai aláássák a webes adatvédelemmel és az iOS-felhasználók böngészőválasztásával kapcsolatos elvárásokat, bár az ilyen választási lehetőségeket korlátozhatja az Apple immár bizonytalan WebKit-szabálya.

“Az alkalmazáson belüli böngészőknek nem szabad aláásniuk a felhasználó böngészőválasztását” – mondta az Open Web Advocacy, a versenyellenes internetes gyakorlatokat megkérdőjelező csoport. Twitteren keresztül. “Az Apple-nek és a Google-nak is érvényesítenie kell ezt az operációs rendszer szintjén. Az OWA azt szorgalmazza, hogy a felhasználók irányíthassák, mi történik egy hivatkozás megérintésekor, függetlenül az alkalmazástól.”

Meta ragaszkodik ahhoz, hogy Krause félreértette a weboldal-injekcióját. „Szándékosan fejlesztettük ki ezt a kódot, hogy tiszteletben tartsuk az emberek alkalmazáskövetési átláthatósága (ATT) döntéseit a platformjainkon” – mondta a Meta szóvivője a The Registernek egy e-mailben. “A kód lehetővé teszi számunkra, hogy adatokat gyűjtsünk, mielőtt azokat célzott reklámozási vagy mérési célokra használnánk fel.”

Az Apple App Tracking Transparency, az Apple tavaly bevezetett adatvédelmi funkciója, amelyhez a felhasználók hozzájárulása szükséges a hirdetésekkel kapcsolatos nyomon követéshez, várhatóan 2022-ig 10 milliárd dolláros hirdetési bevételbe fog kerülni a Metának. Így el lehet képzelni, hogy a Meta mennyire izgatottan várja ezt.

Azt is érdemes megjegyezni, hogy a Meta iOS-en futó Instagram- és Facebook-alkalmazásai – az emberek adatvédelmi döntéseinek tiszteletben tartása mellett – semmiféle lehetőséget nem kínálnak a látszólagos adatvédelmi kódbefecskendezés elhagyására.

„Az igazi botrány az FB alkalmazáson belüli „böngészőjével” kapcsolatban nem az extra nyomon követés, hanem a böngészőválasztás felforgatása” – mondta Alex Russell, a Microsoft Edge társprogram-menedzsere. Twitteren keresztül. „Biztos vagyok benne, hogy ez csak véletlen egybeesés is megszünteti a nyomkövető blokkolását, amelyet a valódi böngészők alkalmazhatnak.”

A regisztráció megkérte a Meta szóvivőjét, magyarázza el, hogyan lehet „tisztelni az embereket” a kód beszúrása egy egyéni alkalmazáson belüli böngészőbe a felhasználói követési preferenciák értékelésére. [ATT] választási lehetőségeket”, amikor egyszerűen megnyit egy weboldalt a felhasználók által preferált böngészőkben vagy az Apple SFSafariViewController segítségével, ez hatékonyabban tenné meg.

Nem hallottunk vissza. ®

Leave a Comment

%d bloggers like this: