При переходе по ссылке из мобильного приложения Facebook и Instagram страницы открываются в их встроенном браузере. Исследователь Феликс Краузе обнаружил, что при этом внедряется код javascript, позволяющий Meta отслеживать действия пользователя на сайтах.
Изучению подверглись Facebook и Instagram для iOS. В этой операционной системе есть функция включения или отключения отслеживания приложением, позволяющая включить или отключить слежку при первом запуске программы (ее внедрением была очень недовольна Meta). Спустя некоторое время подобную политику внедрили и в Google.
Для отслеживания доступны нажатия кнопок и ссылок, выделения текста, снимки экрана, информация, вводимая в формы, в том числе пароли и данные кредитных карт. Слежка может работать на любом веб-сайте, независимо от того, зашифрован он или нет.
Исследователь отметил, что Facebook не обязательно использует имеющуюся возможность для сбора данных. Однако если бы приложения открывали предпочитаемый пользователями внешний браузер, такой возможности просто бы не было.
Согласно исследованию, WhatsApp не модифицирует открываемые веб-сайты аналогичным образом. Краузе предлагает Meta поступать так же или вовсе отказаться от использования встроенного браузера в своих приложениях.
Источник: Engadget