...::: C & M News - Forum :::...

> Forums > Allgemeines Security Forum

Facebook- und Instagram-Apps k�nnten am iPhone alles mitlesen, was Nutzer auf externen Webseiten machen

Erstellt

Aug. '22

letzte Antwort

Antworten

5

Aufrufe

481

6

„Gef�llt mir“

Abos

Noch keine

schaf Mi., 10. August, 2022 um 19:24 #1 Aus Wien stammender Softwareentwickler Felix Krause zeigt ein massives Privacy-Problem auf: Meta schmuggelt in direkt aus den Apps ge�ffneten Webseiten Tracking-Codes ein Softwarehersteller Meta k�nnte theoretisch alles, was die Nutzer auf aus den eigenen Facebook-, Instagram- und Messenger-Apps am iPhone ge�ffneten Webseiten tun, mitlesen - und zwar wirklich l�ckenlos. Davor warnt der aus Wien stammende Softwareentwickler Felix Krause in einem Blogeintrag, den DER STANDARD bereits vorab einsehen konnte. Bild: Felix Krause Der Grund daf�r: Beide Apps verwenden einen sogenannten In-App-Browser, der von Meta selbst entwickelt wurde. Klickt man nun bei Instagram oder Facebook auf einen externen Link, �ffnet sich dieser statt des eigentlichen Browsers am System - was in den meisten F�llen wohl Safari w�re. Ein eigener Browser bedeutet aber auch, dass dessen Hersteller einen weitreichenden Zugriff auf die Inhalte hat. Sowohl die Facebook- als auch die Instagram-App f�r iPhones f�gen auf jeder in besagtem In-App-Browser aufgerufenen Webseite ein St�ck Javascript-Code ein - und zwar eines, das explizit f�r User-Tracking gedacht ist. �ber diesen Code k�nnte Meta prinzipiell s�mtliche User-Aktivit�ten haargenau verfolgen, das inkludiert, auf welche Elemente geklickt wird, oder auch die M�glichkeit, Screenshots anzulegen. Bild: Felix Krause Der verwendete Code ist �brigens nicht geheim. Es handelt sich um das sogenannte Meta Pixel, das Webseitenbetreiber zum Tracking von Nutzeraktivit�ten mithilfe von Facebook/Meta gezielt in ihre Pages einbauen k�nnen. Update: Laut Meta handelt es sich um pcm.js, nicht um Meta Pixel. Was die Sache nicht wenig bedenklich macht, oder entsch�rft. Geheimes Tracking in Instagram und Co - Facebook f�hlt sich hier missverstanden Der von einem Wiener Softwareentwickler entdeckte Code sei nicht zur �berwachung da, sondern, ganz im Gegenteil, um die "Entscheidungen der Nutzerinnen zur App-Tracking-Transparenz zu respektieren" C&M News: https://ress.at/-news10082022192451.html*

Kefir Mi., 10. August, 2022 um 21:06 #2 Um es gleich vorwegzunehmen: Felix Krause hat sich bei seinen Recherche zwar auf iOS konzentriert, aber Meta kann solche Methoden offenbar auch unter Android einsetzen. Konkret hat er bei der Instagram-App für Android ein vergleichbares Verhalten gefunden, auch dort wird Javascript-Code auf alle mit dem In-App-Browser geöffneten Webseiten eingeschmuggelt.

aleX Do., 11. August, 2022 um 3:16 #3 Ich werde später (wenn ich von der Arbeit heim komme) die von Krause vorgeschlagenen Vermeidungsroutinen auch in Ress integrieren .. Zitat: How to protect yourself as a website provider? Until Instagram resolves this issue (if ever), you can quite easily trick the Instagram and Facebook app to believe the tracking code is already installed. Just add the following to your HTML code: Code: <span id="iab-pcm-sdk"></span> <span id="iab-autofill-sdk"></span> Additionally, to prevent Instagram from tracking the user�s text selections on your website: Code: const originalEventListener = document.addEventListener document.addEventListener = function(a, b) { if (b.toString().indexOf("messageHandlers.fb_getSelection") > -1) { return null; } return originalEventListener.apply(this, arguments); } Der Mensch ist ein naiver Tourist mit einem abgelaufenem Visum f�r den Planeten Erde ..

aleX Do., 11. August, 2022 um 16:27 #4 Ich werde später (wenn ich von der Arbeit heim komme) die von Krause vorgeschlagenen Vermeidungsroutinen auch in Ress integrieren .. Ist ab nun auch im Ress Code integriert .. Der Mensch ist ein naiver Tourist mit einem abgelaufenem Visum f�r den Planeten Erde ..

Kefir Do., 11. August, 2022 um 21:27 #5 Ich werde später (wenn ich von der Arbeit heim komme) die von Krause vorgeschlagenen Vermeidungsroutinen auch in Ress integrieren .. Ist ab nun auch im Ress Code integriert .. Perfekt

schaf Fr., 19. August, 2022 um 10:09 #6 TikTok auch: TikTok-App soll mit internem iPhone-Browser spionieren k�nnen Der Sicherheitsforscher Felix Krause hat sich nun auch den chinesischen Videodienst angesehen. Auch dieser kann die Benutzer ausspionieren. M�h? F�r sich selbst ist jeder unsterblich; er mag wissen, dass er sterben muss, aber er kann nie wissen, dass er tot ist...

> Forums > Allgemeines Security Forum

Du hast bereits für diesen Post abgestimmt...

;-)

https://t.ress.at/xndeb/

Ähnliche Themen:

"Afeela": Sony und Honda pr�sentieren neue Automarke

"Air-fi": Forscher machen Arbeitsspeicher zu "WLAN-Karte", um Offline-PCs anzugreifen

"Akt der Faulheit" gef�hrdet gesamtes Python-�kosystem

"Alexa vs. Alexa": Amazons Echo-Lautsprecher hacken sich selbst

"Aliens: Fireteam": Neue Informationen zum kommenden Xenomorph-Shooter

"Alle sollen E-Autos fahren": Fake News �ber Greta Thunberg im Umlauf

"Alles gurgelt": Gratis-PCR-Tests auf Willhaben zum Kauf angeboten

© by Ress Design Group, 2001 - 2024