Одна из наиболее раздражающих вещей, которые делают некоторые приложения, — это встроенный в приложение браузер, открывающий его для веб-ссылок вместо того, чтобы соблюдать выбранный вами браузер по умолчанию.
Это долгое время было неприятно, но теперь разработчик объяснил риски безопасности, связанные с этим, особенно при работе с компаниями, не известными своими стандартами конфиденциальности, такими как Facebook…
Досадный фактор браузеров в приложениях заключается в том, что они не позволяют нам получить доступ к нашим сохраненным данным, таким как имена пользователей и пароли, для автоматического входа в систему, а также информацию об оплате покупок. Это означает, что мы должны вводить эти данные вручную, а не позволять Safari делать это за нас.
Но более серьезная проблема, как объясняет основатель Fastlane Феликс Краузе, заключается в рисках для конфиденциальности при использовании встроенного браузера. Он использует Мету в качестве примера.
Приложение Instagram и Facebook для iOS отображает все сторонние ссылки и рекламу в своем приложении с помощью собственного встроенного браузера. Это создает различные риски для пользователя, поскольку хост-приложение может отслеживать каждое взаимодействие с внешними веб-сайтами, от всех входных данных формы, таких как пароли и адреса, до каждого нажатия.
Он ссылается на Instagram, но точно то же самое верно и для Facebook:
Ссылки на внешние веб-сайты отображаются внутри приложения Instagram вместо использования встроенного Safari. Это позволяет Instagram отслеживать все, что происходит на внешних веб-сайтах, без согласия пользователя или поставщика веб-сайта. Приложение Instagram вводит свой код отслеживания на каждый отображаемый веб-сайт, в том числе при нажатии на рекламу, что позволяет им отслеживать все взаимодействия с пользователем, такие как нажатие каждой кнопки и ссылки, выделение текста, снимки экрана, а также любые входные данные формы, такие как пароли, адреса и кредит. номера карт.
Это очень простой способ для Meta обойти правила прозрачности отслеживания приложений Apple; он также работает как для незашифрованных, так и для зашифрованных веб-сайтов.
Важно отметить, что Краузе не может указать, какую информацию извлекает Meta — он подтвердил только то, что они что-то извлекают.
У меня нет списка точных данных, которые Instagram отправляет домой. У меня есть доказательства того, что приложения Instagram и Facebook активно запускают команды JavaScript для внедрения дополнительного JS SDK без согласия пользователя, а также отслеживают выбор текста пользователем. Если Instagram уже делает это, они также могут внедрить любой другой код JS.
На практике, конечно, Meta не будет копировать ваши пароли и данные кредитной карты. Но поскольку мы не можем сказать, какую информацию он извлекает, это еще одна причина всегда сразу переходить из браузера в приложении в предпочитаемый вами.
Например, в приложении Facebook вы можете нажать на три точки в правом нижнем углу, а затем выбрать «Открыть в браузере». Если у вас нет этой опции в приложении, обычно будет значок «Поделиться», параметры которого включают либо это, либо возможность скопировать ссылку, чтобы вставить ее в Safari.
Краузе также объясняет, как веб-сайты могут защитить себя от непреднамеренного участия в этом типе сбора данных.
Пока Instagram не решит эту проблему (если вообще когда-либо), вы можете довольно легко обмануть приложения Instagram и Facebook, чтобы они поверили, что код отслеживания уже установлен. Просто добавьте в свой HTML-код следующее:
Кроме того, чтобы Instagram не отслеживал выбор текста пользователем на вашем веб-сайте:
const originalEventListener = document.addEventListener document.addEventListener = function(a, b) { if (b.toString().indexOf(«messageHandlers.fb_getSelection») > -1) { return null; } return originalEventListener.apply(this, arguments); }
Наконец, у него есть несколько рекомендаций для Apple по противодействию такого рода нарушениям конфиденциальности.
Фото: Джеймс Ярема/Unsplash
