Les utilisateurs de Facebook poursuivent Meta pour avoir contourné la sécurité robuste d’Apple pour espionner des millions de personnes

Les utilisateurs de Facebook poursuivent Meta pour avoir contourné la sécurité robuste d’Apple pour espionner des millions de personnes

Les utilisateurs de Facebook poursuivent Meta pour avoir contourné la sécurité robuste d'Apple pour espionner des millions de personnes

Après qu’Apple a mis à jour ses règles de confidentialité en 2021 pour permettre facilement aux utilisateurs d’iOS de se retirer de tout suivi d’applications tierces, tant de personnes ont abandonné que l’Electronic Frontier Foundation a rapporté que Meta avait perdu 10 milliards de dollars de revenus au cours de l’année suivante.

Le modèle commercial de Meta repose sur la vente de données d’utilisateurs aux annonceurs, et il semble que le propriétaire de Facebook et d’Instagram ait cherché de nouvelles voies pour continuer à collecter des données à grande échelle et récupérer les revenus soudainement perdus. Le mois dernier, un chercheur en confidentialité et ancien ingénieur de Google, Felix Krause, a déclaré qu’une façon dont Meta tentait de récupérer ses pertes était de cibler tout lien sur lequel un utilisateur clique dans l’application pour l’ouvrir dans le navigateur où Krause a rapporté que Meta était capable d’injecter un code. , modifier des sites Web externes et garder une trace de “tout ce que vous faites sur n’importe quel site Web”, y compris le suivi du mot de passe, sans le consentement de l’utilisateur.

Maintenant, la semaine dernière, deux recours collectifs [1] [2] par trois utilisateurs Facebook et iOS, qui pointent directement vers la recherche de Krause, poursuivent Meta au nom de tous les utilisateurs iOS concernés, accusant Meta de cacher les risques de confidentialité, de contourner les choix de confidentialité des utilisateurs iOS et d’intercepter, surveiller et enregistrer toutes les activités sur des sites Web tiers affiché dans le navigateur Facebook ou Instagram. Cela inclut les entrées de formulaire et les captures d’écran qui accordent à Meta un pipeline secret via son navigateur intégré à l’application pour accéder à “des informations personnellement identifiables, des détails de santé privés, des entrées de texte et d’autres faits confidentiels sensibles”, apparemment sans que les utilisateurs sachent que la collecte de données a lieu.

La plainte la plus récente a été déposée hier par Gabriele Willis, basée en Californie, et Kerreisha Davis, basée en Louisiane. Un avocat de leur équipe juridique chez Girard Sharp LLP, Adam Polk, a déclaré à Ars qu’il s’agissait d’une affaire majeure pour empêcher Meta de s’en tirer en cachant les invasions continues de la vie privée. Dans la plainte, l’équipe juridique a souligné les méfaits antérieurs de Meta dans la collecte d’informations sur les utilisateurs sans consentement, notant pour le tribunal qu’une enquête de la Federal Trade Commission a abouti à une amende de 5 milliards de dollars par Meta.

“Le simple fait d’utiliser une application ne donne pas à la société d’applications une licence pour regarder par-dessus son épaule lorsqu’elle clique sur un lien”, a déclaré Polk à Ars. “Ce litige vise à tenir Meta responsable de la surveillance secrète de l’activité de navigation des personnes via la surveillance intégrée à l’application, même lorsqu’ils n’ont pas autorisé Meta à le faire”.

Meta n’a pas immédiatement répondu à la demande de commentaire d’Ars. Krause a dit à Ars qu’il préférait ne pas commenter.

Meta garde soi-disant une trace des données

Selon les plaintes, qui sont basées sur les mêmes faits, les recherches de Krause “ont révélé que Meta injectait du code dans des sites Web tiers, une pratique qui permet à Meta de suivre les utilisateurs et d’intercepter des données qui autrement ne seraient pas disponibles”.

Pour enquêter sur le problème potentiel de confidentialité, Krause a créé un site Web appelé inappbrowser.com, où les utilisateurs peuvent “détecter si un navigateur intégré à l’application injecte du code dans des sites Web tiers”. Il a comparé une application comme Telegram, qui n’injecte pas de code JavaScript dans des sites Web tiers pour suivre les données des utilisateurs dans le navigateur intégré à l’application, avec l’application Facebook qui suit ce qui se passe dans le fichier HTML lorsqu’un utilisateur clique sur un lien.

Dans le cas des tests effectués sur les applications Facebook et Instagram, Krause a signalé que le fichier HTML montrait clairement que “Meta utilise JavaScript pour modifier les sites Web et contourner les paramètres de confidentialité par défaut de ses utilisateurs en dirigeant les utilisateurs vers le navigateur intégré à l’application. Facebook au lieu de leur navigateur Web par défaut préprogrammé. “

Les plaintes révèlent que cette tactique d’injection de code apparemment employée par Meta pour “intercepter” les utilisateurs était à l’origine connue sous le nom d’attaque par injection de JavaScript. Le procès le définit comme des cas où “un acteur de la menace injecte un code malveillant directement dans le JavaScript côté client. Cela permet à l’acteur de la menace de manipuler le site Web ou l’application Web et de collecter des données sensibles, telles que des informations personnellement identifiables (PII) ou des informations de paiement. . “

“Meta utilise désormais cet outil de cryptage pour prendre l’avantage sur ses concurrents et, par rapport aux utilisateurs d’iOS, pour préserver sa capacité à intercepter et à suivre leurs communications”, indique la plainte.

Selon les plaintes, “Meta a reconnu suivre l’activité de navigation dans l’application des utilisateurs de Facebook” lorsque Krause a signalé le problème à son programme de récompenses de bogues. Les plaintes affirment que Meta a également confirmé à l’époque qu’elle utilisait les données collectées lors de la navigation dans l’application pour la publicité ciblée.

Leave a Reply

Your email address will not be published.