📱 2022-08-12 23:03:00 – 巴黎/法国。
Meta 在 iOS 设备上的 Instagram 和 Facebook 应用程序将 JavaScript 代码从他们的自定义内置浏览器注入第三方网站,从而访问如果这些页面加载到基于 iOS 的独立浏览器中将无法访问的数据。
应用内浏览器——使用称为 WebView 的组件在原生 Android 和 iOS 代码中实现——允许原生应用用户与网站交互,而无需离开他们的应用并从独立浏览器打开应用。 为此,iOS 提供了 WKWebView,它是 WebKit 框架的一部分,以及更新的(和更隐私保护的)SFSafariViewController,它是 SafariServices 框架的一部分。
Meta 的应用程序依赖于 WKWebView,这是两个选项中功能更强大且可定制的,这两个选项都是在 iOS 版本的 Safari 中打开 Web 链接的替代方案。
“这给用户带来了各种风险,因为主机应用程序可以在每次点击时跟踪与外部网站的每次交互,包括密码和地址等所有表单输入,”开发人员 Felix 解释说。fastlane.tools 的创始人克劳斯在一份博客文章探讨元应用程序的隐私影响。
这些风险包括不便,例如没有可用的用户登录会话数据(在交易期间需要额外的身份验证)以及无法访问密码管理器等移动浏览器扩展。 任何注入的代码也会引发安全和隐私问题——它可能会读取它运行的任何网页的内容、更改广告 ID、输入凭据等
没有迹象表明注入的脚本 (pcm.js) 确实如此。 如果您信任 Meta,您不必担心它的脚本会被修改为更有害的功能。 Meta 声称,其应用程序添加到网站的 JavaScript 代码有助于聚合事件,例如在线购物以获取有针对性的广告和分析。
“有问题的代码允许我们尊重人们的隐私选择,通过帮助将网站上已经存在的像素的事件(如在线购买)分组,然后再将这些事件用于任何目的。广告或测量,”安迪·斯通说, Meta传播总监。 ,通过推特。
克劳斯在分析 Instagram 和 Facebook iOS 应用程序执行的代码注入时,重新审视了他和其他网络开发人员近年来一再表达的担忧。
克劳斯实际上在 2018 年就此事向苹果提交了一份错误报告。“允许应用程序在应用内 Web 视图 (WKWebView) 中显示第三方 Web 内容会给 iOS 用户带来重大的安全风险和隐私,”他在提交的文件中写道Apple 的 Privacy Radar 错误跟踪系统和公共站点 Open Radar 由于 Apple 对保密的顽固坚持而创建。
隐私,我们听说过
Web 开发人员表示,问题在于 Meta 的应用程序破坏了 iOS 用户对 Web 隐私的期望和浏览器选择,尽管这些选择可能受到 Apple 现在不确定的 WebKit 规则的限制。
“不应允许应用内浏览器颠覆用户的浏览器选择,”挑战反竞争网络实践的组织 Open Web Advocacy 通过 Twitter 表示。 “苹果和谷歌应该在操作系统层面强制执行。 OWA 提倡用户可以控制点击链接时发生的事情,而不管应用程序如何。 »
Meta 坚持认为克劳斯误解了他的网页注入。 “我们有意开发此代码,以尊重用户在我们平台上对应用程序跟踪 (ATT) 透明度的选择,”Meta 的一位发言人在一封电子邮件中告诉 The Register。 “该代码允许我们在将数据用于有针对性的广告或衡量目的之前对其进行汇总。 »
Apple 的 App Tracking Transparency 是 Apple 去年推出的一项隐私功能,需要用户同意才能进行与广告相关的跟踪,预计 10 年 Meta 将花费 2022 亿美元的广告收入。因此您可以想象 Meta 是多么热衷于遵守。
还值得注意的是,由于渴望尊重人们的隐私决定,Meta 在 iOS 上的 Instagram 和 Facebook 应用程序无法选择退出表面上对隐私友好的代码注入。
“关于 FB 的应用内‘浏览器’的真正丑闻不是额外的跟踪,而是对浏览器选择的颠覆,”微软 Edge 合作伙伴项目经理 Alex Russell 在 Twitter 上表示。 “我敢肯定,这完全是巧合 还 具有消除对真实浏览器可能应用的跟踪器的阻止的效果。 »
寄存器 要求 Meta 的发言人解释如何将代码注入自定义浏览器以评估用户的跟踪偏好可以被视为“尊重人们 [ATT] 的选择”,而只需在用户首选浏览器中打开网页或使用 Apple 的 SFSafariViewController 会做得更多有效率的。
我们还没有得到回应。 ®
来源: 评论 新闻
不要犹豫,在社交网络上分享我们的文章,给我们一个坚实的推动力。 🤗