Při navštívení webové stránky přes mobilní aplikaci Facebook nebo Instagram nejste přesměrováni do vašeho výchozího prohlížeče, ale do vestavěného prohlížeče přímo v aplikaci. Ukázalo se, že tento zabudovaný prohlížeč vkládá javascriptový kód do každé navštívené stránky, což umožňuje nadřazené společnosti Meta potencionálně sledovat jakoukoli akci, kterou provedete. Informoval o tom výzkumník Felix Krause.
„Aplikace Instagram vkládá svůj sledovací kód do každé zobrazené webové stránky, a to i při kliknutí na reklamu, což jí umožňuje sledovat všechny interakce uživatele, například každé klepnutí na tlačítko a odkaz, výběr textu, snímky obrazovky a také všechny vstupy do formulářů, jako jsou hesla, adresy a čísla kreditních karet,“ uvedl Krause v příspěvku na blogu.
Krause ale poznamenal, že Meta nemusí nutně používat tento kód ke shromažďování citlivých údajů. Pokud by však aplikace otevřely preferovaný prohlížeč uživatelů, jako je Safari nebo Firefox, neexistoval by způsob, jak provést podobný javascriptový „inject“ na jakémkoli zabezpečeném webu. Není možné zjistit, jaké informace společnost v realitě extrahuje. Jedná se o další důvod, proč z vestavěných prohlížečů v aplikacích vždy přecházet rovnou do preferovaného prohlížeče.
Facebook and Instagram apps can track users via their in-app browsers https://t.co/ec9jhb0qfd pic.twitter.com/j0Od43IGwp
— Engadget (@engadget) August 12, 2022
Výzkum Felixe Krause se zaměřil na verze aplikací Facebook a Instagram pro iOS. Společnost Apple umožňuje uživatelům při prvním otevření aplikace se přihlásit ke sledování nebo se z něj odhlásit. A to prostřednictvím funkce App Tracking Transparency (ATT), která byla zavedena v systému iOS 14.5. Společnost Meta již dříve uvedla, že tato funkce představuje „protivítr pro naše podnikání v roce 2022… v řádu 10 miliard dolarů“.
Kód se podle Mety řídí preferencemi uživatelů
Společnost Meta ve svém prohlášení uvedla, že kód se řídí preferencemi uživatelů, zda aplikacím povolují, aby je sledovaly. Kód se prý také používá pouze k agregaci dat předtím, než se použije pro cílenou reklamu nebo měření u těch uživatelů, kteří takové sledování odmítli.
„Tento kód jsme vyvinuli záměrně, abychom respektovali volby lidí na našich platformách,“ uvedl mluvčí společnosti Meta. „Kód nám umožňuje agregovat údaje uživatelů před jejich použitím pro účely cílené reklamy nebo měření.“
Podle Krauseho výzkumu aplikace WhatsApp podobným způsobem webové stránky třetích stran neupravuje. Proto navrhuje, aby Meta udělala totéž s Facebookem a Instagramem, nebo aby k otevírání odkazů prostě použila Safari nebo jiný prohlížeč. „Je to to nejlepší pro uživatele a je to správné.“