Конфиденциальность iOS: Instagram* и Facebook* могут отслеживать всю вашу активность в браузере внутри приложения

[Oz_Alex]

Самое смешное, что вся эта слежка используется «типа» для таргетированой рекламы.

А что делают рекламодатели?

Фигачат рекламу ковровыми бомбардировками тупо по возрасту и стране.

[pishchin]

Скорее всего таргетированная реклама дороже. Это не значит, что она эффективнее не таргетированной, но рекламным компаниям хочется больше заработать.

Кстати, у фейсбук* в настройках можно посмотреть рекламодателей, которые загружали им ваши контактные данные - телефоны и адреса электронной почты в основном, чтобы не показывать рекламу уже привлечённым клиентам.

[Oz_Alex]

Так у меня этих скринов уже где-то 40, просто ждал, когда пригодятся для Хабра. Уже ради интереса смотрю почему мне показали эту рекламу и вижу одну и ту же картину.
А в остальных случаях помимо возраста и расположения где-то 5% в духе «Вы показали интерес к моде», когда я 20 лет хожу в джинсах и однотонной футболке или «Вы показали интерес к Adobe Creative Cloud», когда я один раз гуглил как «пропатчить» Lightroom.

[Aleksandr-JS-Developer]

Парой строк JS кода можно легко отслеживать движение мыши по сайту. При отслеживании раз в фиксированный промежуток времени записывать положение курсора.

Потом наложить клики и список ивентов (логин, переход и т. д.) и можно сделать повтор (видео), как будто вы видите экран клиента, когда он делал свои действия.

Мы такую аналитику с клиентов снимаем и вряд ли они подозревают про это.

Так-же, у вас в мобильных устройствах есть гироскоп и акселерометр. С их помощью даже сайт может узнать, идете ли вы сейчас или нет, в какой позе стоите и стоите ли вы вообще.

Кстати, Facebook уже эти данные собирает.

Да что там Facebook. Однажды решил посмотреть, как мой старый смартфон Android (Xaomi Redmi 3) следит за мной.

Поставил простенький сканнер сетевых запросов на устройство (первый в выдаче плей маркета) + сертификат для него. Вырубил все приложения (кроме сканнера), стою на главной экране.

И вижу раз в пару секунд сетевой запрос от Android Framework с какими-то данными, похожими на гугловскую аналитику.

{

  "a": "b6100d7610c6fd5ed4dce519eecfc8847b46d79e",

  "b": "c1dc189a8ecb9af625c768e80f86810b2e5f43fb8"

}

Интересно, что каждый запрос завершался со статусом 404.

В общем в этом болоте приятного мало, но приходится копаться, чтобы хоть знать...

[saipr]

Приложение Instagram и Facebook для iOS отображает все сторонние ссылки и рекламу в своем приложении с помощью собственного встроенного браузера. Это создает различные риски для пользователя, поскольку хост-приложение может отслеживать каждое взаимодействие с внешними веб-сайтами, от всех данных формы, таких как пароли и адреса, вплоть до каждого нажатия.

Есть одно хорошее решение, которое решит все ваши проблемы — напишите своё приложение, которому вы будете доверять. Другого пути нету.

[aamonster]

TL;DR

Кто-то этого не понимал? Кажется, любой чайник осознаёт, что делая что-то в приложении – даёшь информацию этому приложению. Как следствие, не имею привычки логиниться в соцсети внутри приложений ("войти через фейсбук" – да ну, ввести кому-то пароль от фейсбука?) и т.п. – либо в отдельном браузере, либо в приложении самой соцсети.

Ну а те, кто чуть в курсе насчёт WKWebView (вроде это сейчас единственный разрешённый способ показывать веб-контент) – понимают, как именно получать из него данные (оно всё же сколько-то изолировано, так что самым простым способом является использование контент-скриптов).

[pishchin]

Если не пользоваться встроенным в приложение браузером, то при открытии Safari приложение может же добавить в ссылку параметр- идентификатор, чтобы связать профиль в приложении с теневым профилем посещённых сайтов в Safari?

Заметил, что если авторизоваться в приложение c аккаунтом Google или фейсбук* в приложении, то cookies прокидываются в Safari и становишься в нём тоже авторизованным - надо чистить cookies.

[ifap]

Заметил, что если авторизоваться в приложение c аккаунтом Google или фейсбук* в приложении, то cookies прокидываются в Safari и становишься в нём тоже авторизованным - надо чистить cookies

Или запрещать прием third-party cookies, чего не делать просто не вижу ни одной причины.

[NN1]

Поэтому правильней будет скопировать ссылку, убрать из неё всё лишнее и потом зайти.

Но даже это не поможет :)

Потому как сам сайт может передать М*та факт захода на него и IP адрес , а далее дело техники связать заход на сайт с вашего устройства с вашим профилем :)

[ifap]

Кроме того, у провайдера веб-сайта даже нет возможности отказаться.

Эмм... Content Security Policy же... нет?

[qw1]

Тут же речь о просмотре веба через браузер в приложениях Meta.
А их браузер может игнорировать policy.

[ifap]

Ага, верно... тогда остается только блокировать по UA, если приложение еще и его не подменяет.

[qw1]

Бизнесу, который владеет сайтом, это невыгодно.
Пусть мета тоже поимеет историю пользователя, зато и сайт тоже. Если блокировать, то все в проигрыше. Пользователь тыкнёт ссылку в браузере мета, сайт не работает. Подумает «ну и ладно, какой-то кривой сайт, пойду на другой».

[ifap]

Я рассуждал лишь о возможности, а не том, будет ли сайтовладелец ею пользоваться.