Facebook та Instagram можуть відстежувати користувачів через вбудовані браузери

Застосунки Facebook та Instagram від Meta вже давно мають власні вбудовані браузери, що дозволяє користувачам переходити на сайти, не покидаючи сам додаток. Проте дослідник Фелікс Краузе виявив, що ці браузери вставляють код JavaScript у кожен відвідуваний вебсайт, дозволяючи батьківській програмі Meta потенційно відстежувати вас на різних інтернет-сторінках.

«Програма Instagram вставляє свій код відстеження на кожен вебсайт, в тому числі під час натискання реклами, дозволяючи їм відстежувати всі взаємодії користувачів, як-от кожну натиснуту кнопку та посилання, виділений текст, знімок з екрана, а також будь-які введені форми, як-от паролі, адреси та номери кредитних карток», – пояснює Краузе в дописі в блозі.

Його дослідження було зосереджене на версіях Facebook і Instagram для iOS. Це важливо, тому що Apple дозволяє користувачам увімкнути або вимкнути відстеження у застосунках, коли вони вперше їх запускають, за допомогою функції App Tracking Transparency (ATT), представленої в iOS 14.5. Мета раніше заявляла, що ця функція була «зустрічним вітром для нашого бізнесу у 2022 році… на суму близько $10 мільярдів». Як виявилося, компанія принаймні частково змогла обійти це обмеження.

У Meta своєю чергою заявили, що код відстеження відповідає налаштуванням користувачів в ATT.

«Код дозволяє нам агрегувати дані користувачів перед тим, як використовувати їх для цільової реклами або вимірювання», — розказав у коментарі для The Guardian представник Meta. «Ми не додаємо жодних пікселів. Код впроваджується, щоб ми могли агрегувати події конверсії з пікселів. Для покупок, здійснених через браузер у програмі, ми вимагаємо згоди користувача на збереження платіжної інформації для цілей автозаповнення».

Краузе зазначив, що Facebook не обов’язково використовує ін’єкцію JavaScript для збору конфіденційних даних. Однак, якби програми відкривали вибраний користувачем браузер, як-от Safari або Firefox, не було б можливості виконати подібну ін’єкцію JavaScript на будь-якому безпечному сайті. Навпаки, підхід, який використовують браузери Instagram і Facebook, «працює для будь-якого вебсайту, незалежно від того, зашифрований він чи ні», — пише Краузе.

Згідно з даними дослідника, WhatsApp не використовує подібну практику та не змінює сторонні вебсайти, хоча також має вбудований браузер. Таким чином, Краузе пропонує Meta зробити те саме з Facebook та Instagram, або просто використовувати Safari чи інший стандартний браузер для відкриття посилань.