A Meta, controladora do Facebook e Instagram, usa todas as armas que considera eficazes para atingir seus objetivos em termos de “privacidade” e acaba de ser apontada novamente para práticas de rastreamento de usuários, via injeção de código no navegador incorporado em seus aplicativos.
Felix Krause, um pesquisador de privacidade. projetou uma ferramenta capaz de detectar se o código JavaScript é injetado na página que abre no navegador embutido no Instagram, Facebook e Messenger, quando o usuário clica num link que o redireciona para uma página de terceiros.
Ao abrir o Telegram, e clicar em um link externo, nenhuma injeção de código foi detectada. Mas a ferramenta inseriu várias linhas de JavaScript, ao repetir a experiência com Instagram, Messenger, Facebook no iOS e Android, por meio do navegador embutido nesses aplicativos.
Segundo o pesquisador, o arquivo JavaScript externo que o aplicativo do Instagram injeta é um código que cria uma ponte para se comunicar com o aplicativo host.
A injeção de scripts personalizados em sites de terceiros pode, mesmo que não haja evidências para confirmar que a empresa faz isso, permitir que monitore todas as interações do usuário com cada botão e link.
Após a publicação dessa descoberta, Meta reagiu afirmando que a injeção desse código ajudaria a agregar eventos, como compras online, antes de serem usados para publicidade direcionada e medições para o Facebook.
A empresa acrescentou que “para compras feitas através do navegador do aplicativo, pedimos o consentimento do usuário para salvar as informações de pagamento para fins de preenchimento automático”.
Para o pesquisador, não há motivo legítimo para integrar um navegador em aplicativos Meta e forçar os usuários a permanecerem nele quando quiserem navegar em outros sites que nada têm a ver com as atividades da empresa.
Além disso, essa prática de injetar código em páginas de outros sites geraria riscos em vários níveis:
-
o aplicativo host pode rastrear tudo o que acontece no site, como cada toque, pressionamento de tecla, comportamento de rolagem, qual conteúdo é copiado e colado e dados vistos.
-
Roubo de credenciais de usuário, endereços físicos, chaves de API, etc.
-
o aplicativo host pode injetar anúncios no site ou substituir a chave da API de anúncios para roubar receita do aplicativo host ou substituir todos os URLs para incluir um código de referência.
-
os navegadores passaram anos otimizando a segurança da experiência do usuário na web, como exibir o status da criptografia HTTPS, avisar o usuário sobre sites não criptografados etc.
-
A injeção de código JavaScript adicional em um site de terceiros podem quebrar o site.
-
As extensões do navegador e os bloqueadores de conteúdo do usuário não estão disponíveis.
-
Os links diretos não funcionam bem na maioria dos casos.
-
Muitas vezes não é fácil compartilhar um link por meio de outras plataformas (e-mail, AirDrop, etc.)
FONTE: aqui
PS 1: não existe anonimato online
PS 2: nunca permita pagamento automático. Se possível, use cartão virtual para compras online