Watumiaji wa programu za Instagram na Facebook iOS za Apple wanaonywa kuwa wote wanatumia kivinjari cha ndani ya programu ambacho kinaruhusu kampuni mama ya Meta kufuatilia watumiaji wa 'kila bomba moja' wanaofanya na tovuti za nje zinazopatikana kupitia programu hiyo.
Mtafiti Felix Krause, ambaye alielezea jinsi Meta inavyofuatilia watumiaji katika blogu iliyochapishwa Jumatano, anadai kuwa aina hii ya ufuatiliaji inawaweka watumiaji katika "hatari mbalimbali". Anaonya matoleo yote mawili ya iOS ya programu zinaweza "kufuatilia kila mwingiliano na tovuti za nje, kutoka kwa pembejeo zote za fomu kama nywila na anwani, hadi kila bomba moja" kupitia vivinjari vyao vya ndani ya programu.
Wasiwasi wa watumiaji wa iOS juu ya ufuatiliaji ulishughulikiwa na toleo la Apple la 2021 la iOS 14.5 na kipengele kinachoitwa App Tracking Transparency (ATT). Udhibiti ulioongezwa ulikusudiwa kuwataka watengenezaji wa programu kupata idhini ya mtumiaji kabla ya kufuatilia data zinazotokana na programu za wahusika wengine ambazo hazimilikiwi na msanidi programu. 
Krause alisema kuwa programu zote mbili za iOS Facebook na Instagram zinatumia mwanya wa kupitisha sheria za ATT na kufuatilia shughuli za tovuti ndani ya vivinjari vyao vya ndani ya programu kupitia matumizi ya msimbo maalum wa JavaScript unaotumiwa katika vivinjari vyote vya ndani ya programu. Hiyo inamaanisha, wakati mtumiaji wa iOS wa Facebook na Instagram anabofya kiungo ndani ya chapisho la Facebook na Instagram (au tangazo), Meta inazindua kivinjari chake cha ndani ya programu ambacho kinaweza kufuatilia kile unachofanya kwenye tovuti za nje unazotembelea.
Matumizi ya Meta ya Sindano ya JavaScript
"Programu ya Instagram [na Facebook] huingiza msimbo wao wa JavaScript kwenye kila tovuti inayoonyeshwa, ikiwa ni pamoja na wakati wa kubofya matangazo. Ingawa pcm.js haifanyi hivyo, kuingiza hati maalum kwenye tovuti za wahusika wengine huwaruhusu kufuatilia mwingiliano wote wa watumiaji, kama kila kitufe na kiungo kilichogongwa, uchaguzi wa maandishi, picha za skrini, pamoja na pembejeo zozote za fomu, kama nywila, anwani na nambari za kadi ya mkopo," Krause aliandika.
Msimbo .JS PCM, kulingana na mtafiti, ni faili ya nje ya JavaScript iliyoingizwa kwenye tovuti zilizotazamwa ndani ya kivinjari cha ndani ya programu. Msimbo huo hutumiwa na programu zote mbili na huwezesha programu zote mbili kujenga daraja la mawasiliano kati ya maudhui ya tovuti ya ndani ya programu na programu ya mwenyeji. Maelezo ya ziada ya kiufundi kuhusu PCM.JS yanaweza kupatikana hapa.
Meta alijibu utafiti wa Krause na taarifa iliyochapishwa na The Guardian:
"Tulitengeneza kanuni hii kwa makusudi ili kuheshimu uchaguzi wa watu [Omba kufuatilia] kwenye majukwaa yetu… Nambari inaturuhusu kujumlisha data ya mtumiaji kabla ya kuitumia kwa madhumuni ya matangazo au kipimo. Hatuongezi pixels yoyote. Msimbo hudungwa ili tuweze kujumlisha matukio ya uongofu kutoka kwa pikseli.. Kwa ununuzi uliofanywa kupitia kivinjari cha ndani ya programu, tunatafuta idhini ya mtumiaji ili kuokoa taarifa za malipo kwa madhumuni ya kujaza kiotomatiki."
Vivinjari vya Ndani ya Programu na Hatari za Faragha
Matumizi ya vivinjari vya ndani ya programu, iwe ni ya Meta au ya kampuni nyingine, inatoa hatari nyingi za faragha, kulingana na Krause. Kwa wanaoanza inaweza kuruhusu kampuni kukusanya uchambuzi wa kivinjari, kama vile bomba, pembejeo, tabia ya kusogeza na kunakili data bila idhini ya mtumiaji isiyo na utata.
Vivinjari vya ndani ya programu pia vinaweza kutumika kama mwanya na kampuni kuiba sifa za mtumiaji na funguo za API zinazotumiwa katika huduma za mwenyeji au kuingiza matangazo na viungo vya rufaa kwa mapato ya matangazo ya siphon kutoka kwa tovuti, mtafiti alibaini. Wakati akitaja hii kama mifano, Krause hashtaki Meta kwa yoyote ya vitendo hivi.
"Kama uelewa wangu unavyokwenda, [wasiwasi huu wa faragha] haungekuwa muhimu ikiwa Instagram ingefungua kivinjari chaguo-msingi cha simu, badala ya kujenga na kutumia kivinjari maalum cha ndani ya programu," aliandika.
Maswali ya FUD-busting
Wakati utafiti wa Krause umezua hasira na wanaharakati wa faragha na yuko makini kujaribu utafiti wake na majibu ya maswali yaliyoibuliwa na utafiti wake.
- Instagram/Facebook inaweza kusoma kila kitu ninachofanya mtandaoni?La! Instagram ina uwezo wa kusoma na kutazama shughuli zako za mtandaoni unapofungua kiungo au tangazo kutoka ndani ya programu zao.
- Je, Facebook kweli inaiba nywila zangu, anwani na nambari za kadi ya mkopo?La! Sikuthibitisha data halisi Instagram inafuatilia, lakini nilitaka kuonyesha aina ya data ambayo wanaweza kupata bila wewe kujua. Kama inavyoonyeshwa zamani, ikiwa inawezekana kwa kampuni kupata data kisheria na bure, bila kuomba mtumiaji ruhusa, wataifuatilia.
- Je, Instagram inafanya hivyo kwa makusudi?Siwezi kusema maamuzi yalifanywaje ndani. Ninachoweza kusema ni kwamba kujenga kivinjari chako cha ndani ya programu huchukua muda usio mdogo wa kupanga na kudumisha, zaidi ya kutumia tu faragha na njia mbadala ya kirafiki ambayo tayari imejengwa kwenye iPhone kwa miaka 7 iliyopita.
Krause anatoa ushauri kwa watumiaji wenye nia ya faragha ya programu hizo na anapendekeza kwamba, "wakati wowote unapofungua kiungo kutoka Instagram (au Facebook au Mtume), hakikisha unabofya nukta kwenye kona ili kufungua ukurasa katika Safari badala yake." Safari, anasema, tayari inazuia kuki za mtu wa tatu kwa chaguo-msingi.
Watafiti pia wako makini kusema kwamba hana orodha sahihi ya data programu zote mbili hutuma tena kwa Meta. "Nina uthibitisho kwamba programu ya Instagram na Facebook huendesha kikamilifu amri za JavaScript kuingiza SDK ya ziada ya JavaScript bila idhini ya mtumiaji, pamoja na kufuatilia uchaguzi wa maandishi ya mtumiaji," aliandika.
Jibu la Maneno 11 la Apple
Mnamo Julai, Apple iliongeza mchezo wake wa faragha na kutangaza kipengele kinachoitwa Hali ya Lockdown ambayo inasemekana inatolewa kama "kiwango kikubwa, cha hiari cha usalama kwa watumiaji wachache sana ambao, kwa sababu ya wao ni nani au wanachofanya, wanaweza kulengwa binafsi na baadhi ya vitisho vya kisasa zaidi vya dijiti, kama vile wale kutoka NSO Group na kampuni zingine za kibinafsi zinazoendeleza spyware ya mamluki inayofadhiliwa na serikali."
Mtafiti aliwasilisha kile kinachoitwa Ripoti ya Hitilafu ya Jamii ya Rada ya Wazi na Apple mwezi uliopita akidai "Hali ya Lockdown ya iOS inaruhusu maelezo maalum ya wavuti ya ndani ya programu, programu za mwenyeji zinaweza kuiba habari."
Apple ilijibu ndani ya maoni kwa ripoti hiyo ikisema tu "Asante kwa ripoti yako. Hii sio njia ya Lockdown ni ya nini."
Meta alijibu moja kwa moja ripoti ya Krause ikisema PCM.JS JavaScript hutumiwa "husaidia kujumlisha matukio, yaani ununuzi wa mtandaoni, kabla ya matukio hayo kutumika kwa matangazo yaliyolengwa na kipimo kwa jukwaa la Facebook."
Meta alimweleza Krause kwamba inaheshimu sheria ya Apple ya Apple ya App Tracking Transparency (ATT), ambayo inahitaji watengenezaji wa programu kupata ruhusa kabla ya kufuatilia. Mtafiti huyo anabainisha kuwa kujiondoa katika ufuatiliaji wa kivinjari cha Meta kunategemea matumizi ya tovuti ya wahusika wengine ya kile kinachoitwa Meta Pixel. Meta Pixel ni "snippet ya msimbo wa JavaScript ambayo inakuwezesha kufuatilia shughuli za wageni kwenye tovuti yako," kulingana na maelezo ya msanidi programu wa Meta.
Mtafiti anakiri kuwa Meta inafuata sheria za ATT.
"Kulingana na Meta, hati iliyodungwa (pcm.js) husaidia Meta kuheshimu CHAGUO la mtumiaji la ATT kuchagua, ambayo ni muhimu tu ikiwa tovuti iliyotolewa imewekwa Meta Pixel," Krause aliandika.