Ciencia y Tecnología

Se dice que Meta, la empresa matriz de Facebook e Instagram, inyecta código JS en sus sitios web para rastrear a los usuarios, según un descubrimiento reciente del investigador Felix Krause.


Tanto en la jungla como en la web, muchas empresas no dejan de utilizar todo el arsenal que consideran efectivo para lograr sus objetivos. La empresa matriz de Facebook e Instagram, Meta, que ya no se recuerda por su turbulencia de privacidad, vuelve a estar anclada en su práctica de rastrear a los usuarios en la web mediante la inyección de código en los navegadores integrados en sus aplicaciones.

¿Cómo rastrea Meta a los usuarios en la web desde estas aplicaciones de Facebook, Instagram y Messenger?

El problema llamó la atención del público por el investigador de privacidad Felix Krause, quien fundó una herramienta de desarrollo de aplicaciones que fue adquirida por Google en 2017. Cuando un usuario hace clic en un enlace que redirige a una página fuera de la aplicación, se abre en un navegador integrado con la aplicación Instagram, Facebook, Messenger. Después de abrir la aplicación Telegram y hacer clic en un enlace que abre una página de terceros, no se detectó ninguna inyección de código. Sin embargo, cuando repitió el mismo experimento en Instagram, Messenger y Facebook en iOS y Android, la herramienta inyectó algunas líneas de código JavaScript después de abrir la página en los navegadores integrados en esas aplicaciones. Sin embargo, dicho código no se agrega al navegador integrado de WhatsApp.

Según los investigadores, el archivo JavaScript externo que inyecta la aplicación de Instagram es (connect.facebook.net/en_US/pcm.js) con un código que crea un puente para comunicarse con la aplicación host. Con más detalle, los investigadores encontraron que:

  • Instagram está agregando un nuevo detector de eventos para obtener detalles cada vez que un usuario selecciona texto en su sitio web. Esto, combinado con escuchar capturas de pantalla, le da a Instagram una visión completa de la información específica seleccionada y compartida.
  • La aplicación de Instagram verifica si hay un elemento con el id iab-pcm-sdk , que probablemente se refiera al navegador de la aplicación.
  • Si no se encuentra ningún elemento con ID iab-pcm-sdk, Instagram crea un nuevo elemento de secuencia de comandos y establece su fuente en https://connect.facebook.net/en_US/pcm.js.
  • Luego busque el primer elemento de secuencia de comandos en su sitio web e inserte el archivo pcm JavaScript justo antes.
  • Instagram también está buscando un iframe en su sitio web, pero no he encontrado ninguna información sobre lo que hace.

A partir de ahí, Krause señala que si inserta un script personalizado en un sitio web de terceros, Meta podrá ver a todos los usuarios, incluida la interacción con cada botón y cada enlace, sin ninguna evidencia que confirme que la empresa lo está haciendo. que puede ser posible monitorear la interacción de Selecciones de texto, capturas de pantalla y todas las entradas de formularios, como contraseñas, direcciones y números de tarjetas de crédito. Además, no hay forma de deshabilitar el navegador personalizado integrado en la aplicación en cuestión.

Después de que se publicó este descubrimiento, Meta agrupó eventos como compras en línea antes de que se usaran para publicidad dirigida y medición en la plataforma de Facebook al insertar este código. Según se informa, respondió que ayudaría. Según se informa, la compañía agregó que solicitará el consentimiento del usuario para guardar la información de pago con fines de autocompletar para las compras realizadas a través del navegador integrado en la aplicación.

Pero para los investigadores, no hay una buena razón para integrar un navegador en la aplicación de Meta y obligar a los usuarios a seguir usando este navegador cuando quieran navegar por otros sitios no relacionados con las actividades de la empresa. Además, esta práctica de inyectar código en páginas de otros sitios web presenta riesgos en varios niveles.

  • Privacidad y análisis: la aplicación host puede rastrear literalmente todo lo que sucede en su sitio web, incluidos cada toque, pulsación de tecla, actividad de desplazamiento, contenido copiado y pegado, y datos vistos como compras en línea.
  • Robar credenciales de usuario, direcciones físicas, claves API, etc.
  • Anuncios y referencias: las aplicaciones anfitrionas pueden inyectar anuncios en sitios web, anular las claves API de publicidad para robar ingresos de las aplicaciones anfitrionas y anular todas las URL para incluir códigos de referencia.
  • Seguridad: los navegadores han pasado años optimizando la seguridad de su experiencia de usuario en la web, como mostrar el estado del cifrado HTTPS y advertir a los usuarios sobre sitios web no cifrados.
  • Inyectar código JavaScript adicional en sitios web de terceros puede causar problemas que pueden romper el sitio web
  • Las extensiones del navegador y los bloqueadores de contenido del usuario no están disponibles.
  • La vinculación profunda no funciona bien la mayor parte del tiempo.
  • Compartir enlaces a través de otras plataformas (correo electrónico, AirDrop, etc.) a menudo no es fácil.

¿Cómo protegerse como usuario?

Si desea evitar el meta seguimiento a través del navegador de su aplicación, primero puede abrir la página web en un navegador fuera de su aplicación. Por lo general, puede hacer esto con un botón. Si este botón no está disponible, deberá copiar y pegar la URL para abrir el enlace en el navegador de su elección.

Otra solución muy fácil para evitar la e Meta mirada es utilizar las versiones web de estas aplicaciones.

¿Cómo protegerse como proveedor de un sitio web?

Si Meta decide hacerlo mientras espera que se resuelva este problema, el desarrollador podría engañar fácilmente a las aplicaciones de Instagram, Facebook y Messenger haciéndoles creer que el código de seguimiento ya está instalado. Para hacer esto, simplemente incluya lo siguiente en su código HTML:

1
2

<span id="iab-pcm-sdk">span>
<span id="iab-autofill-sdk">span>

Además, para evitar que Instagram rastree las selecciones de texto del usuario en su sitio web, agregue el siguiente código:

1
2
3
4
5
6
7

const originalEventListener = document.addEventListener
document.addEventListener = function(a, b) {
    if (b.toString().indexOf("messageHandlers.fb_getSelection") > -1) {
        return null;
    }
    return originalEventListener.apply(this, arguments);
}

Esto no resuelve el problema real de Instagram que ejecuta código JavaScript en su sitio web, pero al menos no inyecta scripts JS adicionales y rastrea menos datos.

Después de que iOS introdujo un requisito para que los desarrolladores de aplicaciones pidieran permiso para rastrear a los usuarios a través de sus aplicaciones, muchos usuarios se negaron a dar su consentimiento a sus aplicaciones para rastrearlos. Esto redujo los ingresos de Facebook en $ 10 mil millones. Sobre esta base, las acciones pueden ser entendidas y justificadas para asegurar la sostenibilidad de la empresa. Pero, ¿debería sacrificarse la privacidad del usuario?

Fuente: Publicación del investigador, guión insertado por Meta

¿tú también?

¿Cuál es su comentario sobre este reciente descubrimiento?¿Interesante? ¿exagerado? ¿alarma?

¿Crees que es razonable que Meta inyecte código JS en páginas de sitios web de terceros, especialmente sin notificar a los usuarios, porque recopila ciertos datos inofensivos?

¿Este descubrimiento reciente podría desanimarme al usar el navegador integrado de Facebook e Instagram?

Ver también

Facebook planeó deliberadamente espiar a los usuarios, revelaron nuevos correos electrónicos confidenciales de la administración
Violación de datos: Facebook fue demandado nuevamente después de no advertir a los usuarios sobre los riesgos conocidos hasta 2018.
El CEO de Facebook respaldó compartir datos de clientes a pesar de los temores, lamentó su elección, según documentos incautados por MP
Meta amenaza con sacar a Facebook e Instagram de los mercados europeos si el grupo ya no puede intercambiar datos de usuarios europeos con EE. UU.

About the author

w-admin

Leave a Comment