El investigador muestra cómo el uso del navegador dentro de Instagram y Facebook en iOS puede rastrear las interacciones con sitios web externos.
Se advierte a los usuarios de las aplicaciones Instagram y Facebook en iOS de Apple que su navegador permite a la empresa matriz Meta rastrear “cada toque” que hacen los usuarios con sitios web externos a los que se accede a través de estos softwares.
Este tipo de seguimiento pone a los usuarios en “varios riesgos”. Advierte que ambas versiones de las aplicaciones en iOS pueden “rastrear cada interacción con sitios web externos, desde todas las entradas de formulario como contraseñas y direcciones, hasta cada toque” a través de sus navegadores en la aplicación.
Las preocupaciones de los usuarios de iOS sobre el seguimiento se abordaron con el lanzamiento de iOS 14.5 de Apple en 2021 y una función llamada Transparencia de seguimiento de aplicaciones (ATT). El control agregado tenía la intención de exigir a los desarrolladores de aplicaciones que obtuvieran el consentimiento del usuario antes de rastrear los datos generados por aplicaciones de terceros que no son propiedad del desarrollador.
Las aplicaciones de iOS, Facebook e Instagram están utilizando una laguna para eludir las reglas de ATT y rastrear la actividad del sitio web dentro de sus navegadores en la aplicación mediante el uso de un código JavaScript personalizado que se usa en ambos navegadores en la aplicación. Eso significa que, cuando un usuario de iOS en Facebook e Instagram hace clic en un enlace dentro de una publicación de Facebook e Instagram (o un anuncio), Meta inicia su propio navegador en la aplicación que luego puede rastrear lo que hace en los sitios externos que visita.
El uso de meta de una inyección de javascript
“La aplicación de Instagram y Facebook inyecta su código JavaScript en cada sitio web que se muestra, incluso al hacer clic en los anuncios. Aunque pcm.js no hace esto, inyectar scripts personalizados en sitios web de terceros les permite monitorear todas las interacciones de los usuarios, como cada botón y enlace tocado, selecciones de texto, capturas de pantalla, así como cualquier entrada de formulario, como contraseñas, direcciones y números de tarjetas de crédito”
Un código PCM.JS, según el investigador, es un archivo JavaScript externo que se inyecta en los sitios web que se ven en el navegador de la aplicación. El código es utilizado por ambas aplicaciones y permite que ambas aplicaciones construyan un puente de comunicación entre el contenido del sitio web en la aplicación y la aplicación host.
Navegadores en la aplicación y riesgos de privacidad
El uso de navegadores integrados en la aplicación ya sea de Meta o de otra empresa, presenta una serie de riesgos para la privacidad. Para empezar, podría permitir que una empresa recopile análisis del navegador, como toques, entrada, comportamiento de desplazamiento y copiar y pegar datos sin el consentimiento inequívoco del usuario.
Una empresa también podría utilizar los navegadores integrados en la aplicación como una escapatoria para robar las credenciales de los usuarios y las claves API utilizadas en los servicios de host o inyectar anuncios y enlaces de referencia para desviar los ingresos publicitarios de los sitios web, señaló el investigador.
“Según tengo entendido, todas estas preocupaciones de privacidad no serían necesarias si Instagram abriera el navegador predeterminado del teléfono, en lugar de construir y usar el navegador personalizado en la aplicación”
Créditos: Atul Narula
