Business

Les utilisateurs de Facebook poursuivent Meta pour avoir contourné la sécurité d’Apple pour espionner des millions

Les utilisateurs de Facebook poursuivent Meta pour avoir contourné la sécurité d'Apple pour espionner des millions

Après qu’Apple a mis à jour ses règles de confidentialité en 2021 pour permettre facilement aux utilisateurs d’iOS de désactiver tout suivi par des applications tierces, tant de personnes se sont désabonnées que le Electronic Frontier Foundation a signalé que Meta a perdu 10 milliards de dollars de revenus au cours de l’année suivante.

Le modèle commercial de Meta dépend de la vente de données d’utilisateurs aux annonceurs, et il semble que le propriétaire de Facebook et d’Instagram ait cherché de nouvelles voies pour continuer à collecter largement des données et récupérer des revenus soudainement perdus. Le mois dernier, un chercheur en confidentialité et ancien ingénieur de Google, Félix Krause, présumé qu’une façon dont Meta cherchait à récupérer ses pertes était de diriger n’importe quel lien sur lequel un utilisateur clique dans l’application pour ouvrir dans le navigateur, où Krause a signalé que Meta était capable d’injecter un code, de modifier les sites Web externes et de suivre “tout ce que vous faites sur n’importe quel site Web », y compris les mots de passe de suivi, sans le consentement de l’utilisateur.

Maintenant, au cours de la semaine dernière, deux recours collectifs [1] [2] de trois utilisateurs Facebook et iOS – qui pointent directement vers les recherches de Krause – poursuivent Meta au nom de tous les utilisateurs iOS concernés, accusant Meta de dissimuler les risques de confidentialité, de contourner les choix de confidentialité des utilisateurs iOS et d’intercepter, de surveiller et d’enregistrer toutes les activités sur des tiers. sites Web de parties consultés dans le navigateur de Facebook ou d’Instagram. Cela inclut les entrées de formulaire et les captures d’écran accordant à Meta un pipeline secret via son navigateur intégré à l’application pour accéder à “des informations personnellement identifiables, des détails de santé privés, des entrées de texte et d’autres faits confidentiels sensibles” – apparemment sans même que les utilisateurs sachent que la collecte de données est en cours.

La plainte la plus récente a été déposée hier par Gabriele Willis, basée en Californie, et Kerreisha Davis, basée en Louisiane. Un avocat de leur équipe juridique chez Girard Sharp LLP, Adam Polk, a déclaré à Ars qu’il s’agissait d’une affaire importante pour empêcher Meta de s’en tirer en dissimulant les atteintes à la vie privée en cours. Dans la plainte, l’équipe juridique a souligné les méfaits antérieurs de Meta dans la collecte d’informations sur les utilisateurs sans consentement, notant pour le tribunal qu’un L’enquête de la Federal Trade Commission a abouti à une amende de 5 milliards de dollars pour Meta.

“Le simple fait d’utiliser une application ne donne pas à la société d’applications la licence de regarder par-dessus votre épaule lorsque vous cliquez sur un lien”, a déclaré Polk à Ars. “Ce litige vise à tenir Meta responsable de la surveillance secrète de l’activité de navigation des utilisateurs via son suivi intégré à l’application, même lorsqu’ils n’ont pas autorisé Meta à le faire.”

Meta n’a pas immédiatement répondu à la demande de commentaire d’Ars. Krause a dit à Ars qu’il préférait ne pas commenter.

Meta traque secrètement les données

Selon les plaintes, qui reposent sur les mêmes faits, les recherches de Krause “ont révélé que Meta injectait du code dans des sites Web tiers, une pratique qui permet à Meta de suivre les utilisateurs et d’intercepter des données qui ne lui seraient autrement pas disponibles”.

Pour enquêter sur le problème potentiel de confidentialité, Krause a créé un site Web appelé inappbrowser.com, où les utilisateurs peuvent “détecter si un navigateur intégré à l’application particulier injecte du code dans des sites Web tiers”. Il a comparé une application comme Telegram, qui n’injecte pas de code JavaScript dans des sites Web tiers pour suivre les données des utilisateurs dans son navigateur intégré, avec l’application Facebook en suivant ce qui se passe dans le fichier HTML lorsqu’un utilisateur clique sur un lien.

Dans le cas des tests exécutés sur les applications Facebook et Instagram, Krause a signalé que le fichier HTML montrait clairement que “Meta utilise JavaScript pour modifier les sites Web et remplacer les paramètres de confidentialité par défaut de ses utilisateurs en dirigeant les utilisateurs vers le navigateur intégré à l’application de Facebook au lieu de leur navigateur Web par défaut préprogrammé”.

Les plaintes notent que cette tactique d’injection de code apparemment employée par Meta pour “écouter” les utilisateurs était à l’origine connue sous le nom d’attaque par injection JavaScript. Le procès définit cela comme des cas où “un acteur de la menace injecte un code malveillant directement dans le JavaScript côté client. Cela permet à l’acteur de la menace de manipuler le site Web ou l’application Web et de collecter des données sensibles, telles que des informations personnellement identifiables (PII) ou des informations de paiement. .”

“Meta utilise désormais cet outil de codage pour obtenir un avantage sur ses concurrents et, par rapport aux utilisateurs d’iOS, préserver sa capacité à intercepter et à suivre leurs communications”, allègue la plainte.

Selon les plaintes, “Meta a reconnu qu’il suivait l’activité de navigation dans l’application des utilisateurs de Facebook” lorsque Krause a signalé le problème à son programme de primes aux bogues. Les plaintes indiquent que Meta a également confirmé à l’époque qu’elle utilisait les données collectées lors de la navigation dans l’application pour la publicité ciblée.

About the author

admin

Leave a Comment