Приложения Facebook и Instagram используют собственные встроенные браузеры для отслеживания пользователей. Речь идет об открытии ссылок в социальных сетях.
Исследователь кибербезопасности Феликс Краузе обнаружил, что встроенные браузеры приложений внедряют код JavaScript в каждый посещаемый веб-сайт, позволяя родительскому Meta потенциально отслеживать пользователей на разных веб-сайтах.
— Приложение Instagram вводит свой код отслеживания на каждый отображаемый веб-сайт, в том числе при нажатии на рекламу, что позволяет им отслеживать все взаимодействия с пользователем, такие как нажатие каждой кнопки и ссылки, выделение текста, снимки экрана, а также любые входные данные формы — пароли, адреса, номера кредитных карт, — написал Краузе в своем блоге.
Его исследование было сосредоточено на версиях Facebook и Instagram для iOS. Это важно, поскольку Apple позволяет пользователям включать или отключать отслеживание приложений при первом их открытии с помощью функции App Tracking Transparency (ATT).
В свою очередь сотрудник Meta отметил, что код отслеживания позволяет агрегировать данные пользователей для использования их с целью рекламы или исследований.
— Мы не добавляем никаких пикселей. Код вводится, чтобы мы могли агрегировать события конверсии из пикселей. Для покупок, сделанных через браузер в приложении, мы запрашиваем согласие пользователя на сохранение платежной информации для целей автозаполнения, — отметил он.
Феликс Краузе добавил, что Facebook не обязательно использует внедрение JavaScript для сбора конфиденциальных данных. Однако если бы приложения открывали браузер пользователя, такой как Safari или Firefox, не было бы возможности добавлять код на любом безопасном сайте.
