paint-brush
专家:脸书、IG App可以偷秘密,用户关不掉!经过@z3nch4n
2,733 讀數
2,733 讀數

专家:脸书、IG App可以偷秘密,用户关不掉!

经过 Zen Chan7m2022/08/24
Read on Terminal Reader
Read this story w/o Javascript

太長; 讀書

Facebook 和 Instagram 应用程序在未经同意的情况下跟踪用户在第三方网站上的浏览行为。 Apple 在 iOS 14.5 中引入了 App Tracking Transparency,让用户可以控制应用。 Facebook 表示,Apple 的简单 iPhone 警报每年使 Facebook 损失 100 亿美元*** 跟踪对 Facebook 来说并不新鲜,但让我们一窥它对我们的了解程度,前谷歌工程师、研究隐私的 Felix Krause 说,在 10 日的一篇 [博客文章] 中。

Companies Mentioned

Mention Thumbnail
Mention Thumbnail
featured image - 专家:脸书、IG App可以偷秘密,用户关不掉!
Zen Chan HackerNoon profile picture


您是否发现 iOS Facebook 应用和 Instagram 应用运行缓慢?是的,这是因为它所做的比他们展示的要多得多。研究隐私的前谷歌工程师费利克斯克劳斯 10 日在文中表示,Facebook 和 Instagram 应用程序在未经同意的情况下跟踪用户在第三方网站上的浏览行为

背景

苹果积极应对跨主机跟踪

  • 从 iOS 14.5 开始,Apple 引入了 App Tracking Transparency 以赋予用户控制权。应用程序需要获得用户的许可,然后才能在其他公司拥有的应用程序中跟踪其数据。
  • 此外,Safari 已经默认阻止第三方 cookie

在引入 App Tracking Transparency 之后, Meta宣布:

苹果的简单 iPhone 警报每年让 Facebook 损失 100 亿美元

Facebook 抱怨说,Apple 的 App Tracking Transparency 有利于 Google 等公司,因为 App Tracking Transparency “将浏览器从 Apple 要求的应用程序跟踪提示中剔除”。

您在 iOS 上访问的网站不会触发跟踪提示,因为内置了反跟踪功能。

大胆的火球& 麦克世界

随着网络浏览器和 iOS 为用户提供更多的隐私控制,Instagram 对监控来自外部网站的所有网络流量感兴趣的原因就很清楚了。

调查结果(谢谢,克劳斯!)

克劳斯写道,iOS 版本的 Facebook 和 Instagram 应用程序会在他们打开的每个网站上注入代码,并使用“自定义内置应用程序浏览器”而不是苹果内置的 Safari 浏览器来监控用户行为。因此,这两个应用程序“未经用户和网站提供商的同意”跟踪用户隐私,克劳斯说。


克劳斯表示,他无法确定 Instagram 正在跟踪哪些数据,但强调内置浏览器会跟踪用户在网站上所做的一切,包括“每次屏幕点击”和“浏览行为”。 ,一种可用于窃取敏感信息(例如家庭住址)的浏览器。 Instagram 的母公司 Meta 在周二给《卫报》的一份声明中说:“跟踪代码使我们能够收集用户数据以进行有针对性的广告或评估。”


“通过应用内浏览器购物时,我们会征求同意存储支付数据。以便下次购买时可以自动填写。”克劳斯回应说,这种做法仍然“给用户带来了很多风险”,并且“没有不打开自定义内置浏览器的选项”。

如果我停止使用该应用程序怎么办?超越 Facebook 的追踪

Facebook 还延伸到 Facebook 本身之外。那么“定向广告或评价”是什么意思呢? Meta 与营销公司和广告网络建立了合作伙伴关系,以便在其他网站上开展活动,包括:

  • 登录需要 Facebook Check-in 的公共 WiFi;
  • 使用您的 Facebook 帐户登录第三方服务;
  • 浏览包含“Facebook Pixel”的网站;
  • 和更多;

可以与您的 Facebook 个人资料结合使用。


跟踪器对 Facebook 来说并不新鲜,但对我们来说却是新事物。它至少让我们可以一窥它对我们的了解程度。它显示Facebook 和姊妹应用程序 Instagram 和 WhatsApp 不需要打开麦克风来为您提供特定的广告和帖子。

什么是 Facebook 外活动?

Facebook 外活动官方解说 |作者截图

Facebook 外活动打破了您在 Facebook 上所做的事情和在 Facebook 外所做的事情之间的关联。因此,例如,如果您在第三方零售网站上购买鞋子,您不会突然在 Facebook 动态消息中看到鞋子广告。这是完整活动列表的直接链接。


无论您是否拥有 Facebook 帐户,此 Facebook 外活动也会受到监控。此外, Facebook Pixel等跟踪工具可帮助网站和在线零售商收集有关其访问者的信息,包括他们是否返回。


第三方广泛使用 Facebook 的广告和跟踪技术,这意味着您现在只是在躲避 Facebook,但也躲避它的“朋友”。这个新工具不允许您重置与 Facebook 的关系;相反,它为您提供了一种新方法,可以将您的 Facebook 帐户与第三方的某些监控断开连接。


奖励:“你可能认识的人”,它是如何工作的

图片来自 Mark Zuckerberg F8 2019 Keynote \ CC 2.0

在现实生活中,很容易在自然的谈话过程中找到一个你可能认识的人。例如,当你说你在哪里时,有人会说“哦,我的室友也是从那里来的!”这样的话并不少见。他们会告诉你更多细节,比如他们住在哪里和他们的全名,你可能认识也可能不认识他们,这取决于小镇有多小。


类似地,您可以假设 Facebook 上的朋友推荐会以相同的方式工作:

  • 您填写您的个人信息
  • Facebook 找出你可能在网上认识的人

然而,Facebook 并不是这样工作的,因为他们这边的数据集远远超出了日常人类互动的规模。人们通常会在建议中看到一张熟悉的面孔,但您与该人没有共同的 Facebook 好友。

https://twitter.com/WillOremus/status/984109389823930368?ref_src=twsrc%5Etfw%7Ctwcamp%5Etweetembed%7Ctwterm%5E984109389823930368%7Ctwgr%5E%7Ctwcon%5Es1_c10&ref_url=file%3A%2F%2F%2FGoogleDrive%%2F%2FGoogleDrive%2zUser 2Fmedium-export%2Fposts%2F2021-04-08_Facebook-Is-Stalking-You-Even-You-Re-Offline---And-How-to-Limit-It-e271456cbe23.html

Facebook 是如何发现这类信息的?为什么他们知道你的高中老师是谁,你的家庭医生是谁?

什么是影子档案?

您需要允许注册的前两个请求 |作者截图

提供您的地址簿是 Facebook 要求人们在最初注册时遵循的第一步,以便他们可以继续“寻找朋友”。 (您可以选择第二个选项,“在不上传我的联系人的情况下注册。”)在“开始”按钮下方的小字体中,页面声明:


“您通讯录中的联系人信息,包括姓名、电话号码和昵称,将持续上传到 Facebook ,以便我们推荐朋友并为您和其他人提供和改进广告,”

作者截图

在您为自己建立的 Facebook 个人资料背后,一个影子个人资料其他 Facebook 用户的收件箱和智能手机的内容组成。您从未向 Facebook 提供的联系信息与您的帐户相关联,从而帮助 Facebook 大规模地完全映射您的社交关系。


自 2013 年以来,影子联系信息一直是 Facebook 的一个已知功能!但大多数用户并不知道它的范围和威力。由于影子档案发生在 Facebook 的算法中,人们无法看到他们生活中的数据挖掘有多深,直到出现一个神秘的推荐。

如何保护自己免受扎克伯格的侵害?

1# 网络浏览器

转到网页版的IG和FB:

每当您打开 FB 或 IG 帖子时,请使用阻止跟踪器的网络浏览器,例如 Mozilla 的FirefoxBrave 。此外,如前所述,自 iOS 14.5 以来,Safari 已经阻止了第三方 cookie。因此,下次有人向您发送 FB 或 IG 的链接时,请使用“在浏览器中打开”模式打开它们。

如果您想像应用程序一样打开 FB 和 IG,您可以使用 Safari 中的 Web Clip 来实现。

如果您更喜欢 Brave,也可以通过 Web 应用快捷方式来实现。

2# 广告拦截器和 DNS

我建议在浏览器区域多加努力。一项新增功能是广告拦截扩展。 Firefox 和 Chrome 上提供了一个名为“ uBlock Origin ”的插件。 uBlock Origin 可能需要一些初始配置。


您的浏览器的其他一些好的且易于使用的广告或跟踪阻止扩展选择将是GhosteryEFF 的 Privacy Badger 。 Brave 具有称为“ Shield ”的内置广告拦截功能。 Firefox 和 Mozilla 的 Facebook Containeaddonon 阻止 Facebook 的软件与其他网站连接。


在移动应用程序中,跟踪是常见且不可避免的,由于移动网络浏览器功能较少且用户无法添加扩展程序,因此更难停止追踪。但是,一些服务,例如1.1.1.1Disconnect 的 Privacy ProNext DNS 、扫描应用程序活动和阻止跟踪器流量,也可能会减少带宽使用。

3#终极修复——告别

我要永远告别 Facebook 和 Instagram关闭你的帐户。但是,当然,您可以从现在开始阻止 Facebook 跟踪您。不过,到目前为止,这并不是大多数人愿意做出的选择。就像 Pierre 披露的那样,您的数据仍然位于其数据中心内,这是值得怀疑但无法验证的。

最后的话——没有什么是免费的,尤其是在涉及到 Meta 时

即使您知道在 Facebook 上无法访问免费,您可能还没有意识到 Facebook 在整个互联网上跟踪的范围和深度。因此,任何担心 Facebook 操纵人民和影响选举的力量的人都应该考虑它是如何追踪我们的。


Facebook 非常清楚用户对其数据收集政策感到不满,并试图推出授予更多控制权的手段。可悲的是,这些对数据收集的作用不大,而更多的是关于如何将数据用于广告个性化。尽管如此,直到最近,他们才开始为 Messenger 应用程序和 WhatsApp 测试 E2E 加密聊天,预计 2023 年在全球推出。


跟踪延伸到其他网站和服务,延伸到您在手机上玩的各种应用程序,以及您在现实世界中实际访问的位置 - 特别是如果您决定或 WiFi 要求您在 Facebook 上签到时您在那里。


如果你想利用它的功能,你必须放弃你的一些个人信息。但 Facebook 有办法密切关注那些甚至没有注册该服务的人。相比之下,Facebook 正在努力淡化泄密的严重性,判断这不仅仅与公司有关。


感谢您的阅读。愿 InfoSec 与你同在🖖。


参考:

  1. https://krausefx.com/blog/ios-privacy-instagram-and-facebook-can-track-anything-you-do-on-any-website-in-their-in-app-browser#how-to-作为用户保护自己
  2. https://www.holovaty.com/writing/framebust-native-apps/