应用内的浏览器可以监控用户与任何网站的交互

admin 2023年3月12日22:21:14评论40 views字数 1300阅读4分20秒阅读模式

应用内的浏览器可以监控用户与任何网站的交互


这种做法将违反 Apple 制定的 App Tracking Transparency 政策


根据最近的一项调查,Facebook 和 Instagram 在 iOS 上的应用内浏览器可以在用户不知情的情况下监控用户在网站上的活动。


软件开发商和 Fastlane 创始人 Felix Krause 声称, Meta 拥有的 Facebook 和Instagram都在 iOS 上使用自己的应用内浏览器,而不是 Apple 为第三方应用程序提供的浏览器。


大多数第三方应用程序使用 Apple 的 Safari 浏览器加载网页,而 Facebook 和 Instagram 则采用不同的方式并使用自己的应用程序内浏览器来加载网页。


根据 Krause 的说法,Instagram 和 Facebook 使用他们定制的浏览器(仍然基于 WebKit)将一个称为“Meta Pixel”的跟踪 JavaScript 代码注入每个链接的网站。

分析发现,使用该代码,Meta 可以在未经用户同意的情况下秘密观察所有用户交互和活动。


Meta Pixel 是一段代码,可以嵌入到第三方网站上,用于跟踪用户浏览网站时的活动。一个人查看的每个页面、他们点击的按钮以及他们进入门户的详细信息都可能被 Meta Pixel 跟踪和记录。


“这给用户带来了各种风险,主机应用程序能够跟踪与外部网站的每一次交互,从密码和地址等所有表单输入到每一次点击,”克劳斯在他的博客中说


“Instagram 应用程序将他们的跟踪代码注入到显示的每个网站中,包括在点击广告时,使他们能够监控所有用户交互,例如点击的每个按钮和链接、文本选择、屏幕截图以及任何表单输入,例如密码、地址和信用卡号码。”


这种做法违反了 Apple 制定的 App Tracking Transparency (ATT) 政策。该政策在 iOS 14.5 中引入,要求应用程序在跨第三方应用程序跟踪其数据之前获得用户的同意。Meta 声称该政策已使其损失了数十亿美元的广告收入。


克劳斯说他通过他们的漏洞赏金计划向 Meta 告知了这个问题。尽管 Meta 承认了这个问题,但该公司此后一直没有回应。


克劳斯声称,在选择公开他的结果之前,他提前两周通知了 Meta。


虽然他没有Instagram 发回其母公司的具体数据列表,但他声称“有证据表明 Instagram 和 Facebook 应用程序在未经用户同意的情况下主动运行 JavaScript 命令以注入额外的 JS SDK,因为以及跟踪用户的文本选择。”


他继续说:“如果 Instagram 已经这样做了,他们还可以注入任何其他 JS 代码。Instagram 应用程序本身可以很好地防止中间人攻击,并且只能通过修改 Android 二进制文件来删除证书固定和运行它在模拟器中,我能够检查它的一些网络流量。”


这一发现是继最近在美国针对 Meta 提起的集体诉讼,该诉讼指控该公司非法收集患者的敏感健康信息以进行定向广告。


根据投诉,美国前 100 家医院中的 33 家网站以及 7 个医疗保健系统的受密码保护的门户网站包含 Meta 的 Pixel 监控工具,该工具收集患者数据并与 Facebook 共享,这违反了州和联邦法规。


原文始发于微信公众号(网络研究院):应用内的浏览器可以监控用户与任何网站的交互

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年3月12日22:21:14
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   应用内的浏览器可以监控用户与任何网站的交互https://cn-sec.com/archives/1233335.html

发表评论

匿名网友 填写信息