如果您访问在 Facebook 和 Instagram 上看到的网站,您可能已经注意到您没有被重定向到您选择的浏览器,而是一个自定义的应用内浏览器。研究人员Felix Krause发现,这些浏览器将 javascript 代码注入到访问的每个网站中,从而允许父 Meta 潜在地跨网站跟踪您。
“Instagram 应用程序将他们的跟踪代码注入到显示的每个网站中,包括在点击广告时,使他们能够 [to] 监控所有用户交互,例如点击的每个按钮和链接、文本选择、屏幕截图以及任何表单输入,例如密码、地址和信用卡号码,”克劳斯在一篇博文中说。
他的研究重点是 Facebook 和 Instagram 的 iOS 版本。这很关键,因为 Apple 允许用户在首次打开应用时通过 iOS 14.5 中引入的应用跟踪透明度(ATT) 选择加入或退出应用跟踪。 Meta 此前曾表示,该功能是“我们 2022 年业务的逆风……大约 100 亿美元”。
Meta 表示,注入的跟踪代码遵循用户对 ATT 的偏好。 “该代码允许我们在将用户数据用于有针对性的广告或测量目的之前汇总用户数据,”一位发言人告诉《卫报》 。 “我们不添加任何像素。注入代码以便我们可以从像素聚合转换事件。对于通过应用内浏览器进行的购买,我们会征求用户同意以保存支付信息以用于自动填充。”
Krause 指出,Facebook 不一定使用 javascript 注入来收集敏感数据。但是,如果这些应用程序打开了用户喜欢的浏览器(如 Safari 或 Firefox),则无法在任何安全站点上进行类似的 javascript 注入。相比之下,Instagram 和 Facebook 应用内浏览器使用的方法“适用于任何网站,无论它是否加密,”他说。
根据克劳斯的研究,WhatsApp 不会以类似的方式修改第三方网站。因此,他建议 Meta 应该对 Facebook 和 Instagram 做同样的事情,或者只使用 Safari 或其他浏览器打开链接。 “这对用户来说是最好的,也是正确的做法。”有关更多信息,请在此处查看他的发现摘要。