Trình duyệt trên Facebook thu thập dữ liệu nhạy cảm

Tính năng "trình duyệt trong ứng dụng" trên Facebook và Instagram được cho là bị nhúng mã để thu thập dữ liệu người dùng.

Thông thường, khi nhấp vào đường link trên Facebook hay Instagram, người dùng được đưa đến một trình duyệt riêng trong ứng dụng thay vì chuyển tiếp qua Chrome, Firefox... Tuy nhiên, theo Felix Krause, cựu kỹ sư của Google, Meta đã nhúng mã vào trình duyệt này để thu thập dữ liệu.

"Meta đưa đoạn mã vào mọi website được hiển thị, kể cả khi nhấp vào quảng cáo. Điều này cho phép họ giám sát tất cả tương tác của người dùng, gồm mọi nút và liên kết được nhấn, lựa chọn văn bản, ảnh chụp màn hình cũng như bất kỳ nội dung được nhập vào, chẳng hạn mật khẩu, địa chỉ và số thẻ tín dụng", Krause giải thích.

Logo Meta bên ngoài chi nhánh công ty ở Davos (Thụy Sĩ). Ảnh: Reuters

Krause, hiện là một nhà nghiên cứu quyền riêng tư, đã tạo một công cụ có thể liệt kê các lệnh bổ sung được trình duyệt thêm vào một website, từ đó phát hiện đoạn mã nhúng. Công cụ này hầu như không phát hiện thay đổi trên các trình duyệt và trình duyệt trong ứng dụng tương tự.

Tuy nhiên đối với Facebook và Instagram, công cụ này tìm thấy tối đa 18 dòng mã được thêm vào. Những đoạn mã nhúng này không cần cài đặt và dựa vào Meta Pixel, công cụ cho phép Meta theo dõi người dùng trên web và cung cấp quảng cáo nhắm mục tiêu dựa trên trình duyệt mà họ đang dùng.

Theo Krause, phần mã nhúng chỉ xuất hiện trên trình duyệt riêng của Facebook và Instagram, không có trên WhatsApp.

Trong khi đó, đại diện Meta cho biết việc đưa mã nhúng vào trình duyệt nhằm "phục vụ sở thích của người dùng". Hãng khẳng định nó chỉ được sử dụng để tổng hợp dữ liệu trước khi hướng đến các mục đích quảng cáo hoặc thống kê một loại thói quen cụ thể. Đối với các giao dịch được thực hiện qua trình duyệt trong ứng dụng, Meta nói "chỉ lưu thông tin thanh toán cho tính năng tự động điền".

Trước đây, các loại mã nhúng javascript thường bị liệt vào danh sách thuộc loại tấn công độc hại. Theo công ty an ninh mạng Feroot, các cuộc tấn công dạng này "cho phép kẻ tấn công thao túng website hoặc ứng dụng web để thu thập dữ liệu nhạy cảm, chẳng hạn thông tin nhận dạng cá nhân (PII) hoặc thông tin thanh toán".

(theo Guardian)