Relatório expõe que aplicativos do Instagram e do Facebook podem monitorar as interações dos usuários com qualquer site

Uma das coisas mais irritantes que alguns aplicativos fazem é incorporar seu próprio navegador no aplicativo, abrindo-o para links da Web em vez de respeitar o navegador padrão escolhido.

Isso tem sido um incômodo há muito tempo, mas um desenvolvedor agora explicou os riscos de segurança de fazê-lo, especialmente ao lidar com empresas que não são conhecidas por seus padrões de privacidade – como o Facebook

O fator incômodo dos navegadores no aplicativo é que eles não nos permitem acessar nossos dados armazenados, como nomes de usuário e senhas, para login automático – nem informações de pagamento para compras. Isso significa que temos que inserir esses dados manualmente, em vez de deixar o Safari fazer isso por nós.

Mas o maior problema, explica o fundador da Fastlane, Felix Krause, são os riscos de privacidade de usar um navegador no aplicativo. Ele usa Meta como exemplo.

O aplicativo iOS Instagram e Facebook renderiza todos os links e anúncios de terceiros em seu aplicativo usando um navegador personalizado no aplicativo. Isso causa vários riscos para o usuário, com o aplicativo host sendo capaz de rastrear todas as interações com sites externos, desde todas as entradas de formulário, como senhas e endereços, até cada toque.

Ele se refere ao Instagram, mas exatamente as mesmas coisas são verdadeiras para o Facebook:

Links para sites externos são renderizados dentro do aplicativo Instagram, em vez de usar o Safari integrado.

Isso permite que o Instagram monitore tudo o que acontece em sites externos, sem o consentimento do usuário nem do provedor do site.

O aplicativo Instagram injeta seu código de rastreamento em todos os sites exibidos, inclusive ao clicar em anúncios, permitindo que eles monitorem todas as interações do usuário, como todos os botões e links tocados, seleções de texto, capturas de tela, bem como quaisquer entradas de formulário, como senhas, endereços e crédito números do cartão.

Essa é uma maneira muito simples de o Meta contornar as regras de transparência de rastreamento de aplicativos da Apple; ele também funciona para sites não criptografados e criptografados.

É importante notar que Krause não é capaz de declarar quais informações o Meta extrai – ele confirmou apenas que eles extraem algo.

Não tenho uma lista de dados precisos que o Instagram envia para casa. Tenho provas de que o aplicativo do Instagram e do Facebook executa ativamente comandos JavaScript para injetar um SDK JS adicional sem o consentimento do usuário, além de rastrear as seleções de texto do usuário. Se o Instagram já estiver fazendo isso, eles também podem injetar qualquer outro código JS.

Na prática, é claro, o Meta não copiará suas senhas e detalhes de cartão de crédito. Mas como não podemos dizer quais informações ele está extraindo, é outro motivo para sempre pular direto dos navegadores do aplicativo para o seu preferido.

No aplicativo do Facebook, por exemplo, você pode clicar nos três pontos no canto inferior direito e selecionar Abrir no navegador. Se você não tiver essa opção em um aplicativo, geralmente haverá um ícone Compartilhar cujas opções incluem isso ou a capacidade de copiar o link para colá-lo no Safari.

Krause também explica como os sites podem se proteger contra a participação involuntária nesse tipo de coleta de dados.

Até que o Instagram resolva esse problema (se alguma vez), você pode facilmente enganar o aplicativo Instagram e Facebook para acreditar que o código de rastreamento já está instalado. Basta adicionar o seguinte ao seu código HTML:

<span id="iab-pcm-sdk"></span>
<span id="iab-autofill-sdk"></span>

Além disso, para impedir que o Instagram rastreie as seleções de texto do usuário em seu site:

const originalEventListener = document.addEventListener document.addEventListener = function(a, b) {
 if (b.toString().indexOf("messageHandlers.fb_getSelection") > -1) { 
return null; 
}
 return originalEventListener.apply(this, arguments); 
}