O navegador do aplicativo do Facebook no iOS monitora “todas as atividades realizadas em qualquer site”.

Os utilizadores das aplicações do Instagram e do Facebook para dispositivos iOS da Apple estão a ser alertados de que ambas utilizam um navegador integrado que possibilita à empresa-mãe Meta monitorar todas as atividades dos utilizadores em sites externos acedidos através do software.

Segundo o pesquisador Felix Krause, em um artigo divulgado na quarta-feira, ele expôs como o Meta rastreia os usuários e destaca os perigos desse tipo de monitoramento. Ele alerta que tanto a versão iOS do aplicativo pode coletar e enviar todas as interações com sites externos, incluindo dados sensíveis como senhas e endereços, a cada toque realizado pelos usuários em seus navegadores no aplicativo.

A versão 2021 do iOS 14.5 da Apple introduziu o recurso App Tracking Transparency (ATT) para abordar as preocupações dos usuários do iOS em relação ao rastreamento de dados. O objetivo era garantir que os desenvolvedores de aplicativos obtivessem o consentimento dos usuários antes de rastrear informações geradas por aplicativos de terceiros. Recentemente, foi descoberto que o Facebook e o Instagram estavam contornando as regras do ATT ao usar um código JavaScript personalizado para rastrear a atividade dos usuários em sites externos quando clicavam em links dentro dos aplicativos.

Infosec Insiders Newsletter
Imagem: xsix/Burst

O uso de injeção de JavaScript pela Meta.

De acordo com Krause, o Instagram, juntamente com o Facebook, incorpora seu código JavaScript em todos os sites visualizados, inclusive ao clicar em anúncios. A prática de injetar scripts personalizados em sites de terceiros possibilita a monitorização de todas as interações do usuário, como cliques em botões e links, seleções de texto, capturas de tela, além de informações inseridas em formulários, como senhas, endereços e números de cartão de crédito.

Relacionado:   Como incluir um emoji personalizado no Slack.

Um arquivo JavaScript externo, conhecido como PCM, é inserido em sites visualizados através do navegador em um aplicativo. Esse código facilita a comunicação entre o conteúdo do site e o aplicativo host, permitindo a construção de uma ponte de comunicação. Mais detalhes técnicos sobre o PCM podem ser encontrados no link fornecido para o arquivo JS.

Meta respondeu à pesquisa de Krause por meio de uma declaração divulgada pelo The Guardian.

El código fue creado con el propósito de respetar las decisiones de privacidad de los usuarios en nuestras plataformas, permitiéndonos recopilar datos de usuario para publicidad y medición específicas sin incorporar píxeles. Se inserta el código para agregar eventos de conversión de píxeles. En cuanto a las compras realizadas a través del navegador en la aplicación, se solicita el consentimiento del usuario para almacenar información de pago con el fin de facilitar el autocompletado de datos.

Navegadores em aplicativos e os perigos para a privacidade.

De acordo com Krause, o uso de navegadores dentro de aplicativos, sejam da Meta ou de outras empresas, traz consigo diversos riscos de privacidade. Por exemplo, pode possibilitar que uma empresa colete dados de análise do navegador, como cliques, digitação, rolagem e informações de pagamento, sem o consentimento explícito do usuário.

Continua após a publicidade..

Os navegadores dentro do aplicativo podem ser explorados por uma empresa para obter informações confidenciais dos usuários, como credenciais e chaves de API, ou para inserir anúncios e links de referência visando lucrar com a publicidade em sites. O pesquisador menciona essas possibilidades como exemplos, mas não acusa a Meta de estar envolvida em tais práticas.

“De acordo com o meu entendimento, acredito que todas essas questões de privacidade poderiam ser evitadas se o Instagram optasse por abrir o navegador padrão do celular ao invés de utilizar um navegador personalizado dentro do aplicativo”, foi o que foi escrito.

Relacionado:   O Google fez alterações no visual do Gmail e isso causou indignação em alguns usuários. Saiba como restaurar o design anterior.

FAQ para desmistificar FUD

A pesquisa de Krause tem gerado revolta entre ativistas de privacidade, e ele está sendo cauteloso ao responder às perguntas levantadas em relação ao seu estudo.

  • O Instagram/Facebook não tem a capacidade de monitorar todas as minhas atividades online. Eles somente podem observar e analisar o que faço na internet quando eu clico em um link ou anúncio dentro de seus aplicativos.
  • O Facebook não está, de fato, roubando minhas senhas, endereço e números de cartão de crédito. Embora não tenha evidências concretas sobre os dados específicos que o Instagram está coletando, gostaria de exemplificar o tipo de informações que podem ser obtidas sem o conhecimento do usuário. Como visto anteriormente, se uma empresa puder acessar dados de forma legal e gratuita, sem solicitar permissão ao usuário, é provável que o façam.
  • O Instagram pode estar intencionalmente implementando essa mudança? Não tenho informações sobre o processo de tomada de decisão interno. No entanto, posso afirmar que desenvolver um navegador próprio no aplicativo demanda um esforço considerável em termos de programação e manutenção, muito mais do que simplesmente utilizar a privacidade e a alternativa amigável que já estão disponíveis no iPhone há sete anos.
Continua após a publicidade..

Krause dá dicas para usuários de aplicativos sobre privacidade e recomenda que, ao clicar em um link do Instagram (ou Facebook ou Messenger), é importante selecionar os pontos no canto para abrir a página no Safari em vez disso. Ele destaca que o Safari bloqueia cookies de terceiros automaticamente.

Os pesquisadores também destacam que não possuem uma lista exata dos dados enviados pelos dois aplicativos para a Meta. Eles afirmam ter evidências de que o Instagram e o Facebook executam comandos JavaScript para adicionar um SDK JavaScript extra sem a permissão do usuário, além de monitorar as escolhas de texto feitas pelo usuário.

Relacionado:   O Samsung Galaxy S22 será lançado em um tom de roxo ainda mais intenso.

Resposta da Apple em 11 semanas.

No mês de julho, a Apple intensificou suas medidas de proteção da privacidade ao apresentar o Modo de Lockdown, um recurso que é descrito como proporcionando um alto nível de segurança opcional destinado a usuários que possam ser alvos de ameaças digitais avançadas, como as provenientes do Grupo NSO e outras companhias que desenvolvem spyware patrocinado por governos.

O pesquisador relatou recentemente à Apple sobre uma falha chamada Open Radar Community Bug Report, na qual ele afirmou que o “iOS Lockdown Mode” possibilita a exibição de páginas da web personalizadas no aplicativo, permitindo que aplicativos hospedeiros roubem informações.

A Apple agradeceu pelo relatório e explicou que o modo de bloqueio não deve ser utilizado para esse fim.

Meta respondeu de forma direta ao relatório de Krause, afirmando que o JavaScript do PCM JS é empregado para facilitar a inclusão de eventos, como compras online, antes que esses eventos sejam utilizados para publicidade e medição direcionada na plataforma do Facebook.

Meta informou a Krause que respeita a regra de Transparência de Rastreamento de Aplicativos da Apple (ATT), que requer que os desenvolvedores de aplicativos obtenham autorização antes de rastrear. O pesquisador destacou que a melhoria do rastreamento de navegação no aplicativo da Meta depende da utilização de um site de terceiros chamado Meta Pixel. O Meta Pixel é descrito como um “pequeno trecho de código JavaScript que possibilita o rastreamento da atividade do visitante em seu site”, de acordo com informações fornecidas pelo desenvolvedor da Meta.

O pesquisador admite que Meta está cumprindo as normas da ATT.

Segundo Krause, o script injetado (pcm.js) auxilia Meta a considerar a decisão do usuário de optar por sair da ATT, o que só é importante se o site exibido tiver o Meta Pixel instalado.

Pode compartilhar este artigo.

  • A condição de ter a liberdade de manter informações pessoais protegidas e fora do alcance de terceiros é conhecida como privacidade.