苹果Instagram和Facebook iOS应用程序的用户被警告说,两者都使用应用程序内浏览器,允许母公司Meta跟踪用户通过该软件访问的外部网站的“每次点击”。
研究人员Felix Krause 在周三发布的博客中概述了Meta如何跟踪用户,他声称这种类型的跟踪使用户面临“各种风险”。 他警告说,这两个iOS版本的应用程序都可以通过其应用程序内浏览器“跟踪与外部网站的每次交互,从密码和地址等所有表单输入到每次点击”。
苹果2021年发布的iOS 14.5和一项名为App Tracking Transparency(ATT)的功能解决了iOS用户对跟踪的担忧。 添加的控件旨在要求应用开发人员在跟踪不属于开发人员的第三方应用生成的数据之前获得用户的同意。 
Krause表示,Facebook和Instagram的iOS应用程序都在利用一个漏洞来绕过ATT规则,并通过使用两个应用程序内浏览器中使用的自定义JavaScript代码来跟踪其应用程序内浏览器中的网站活动。 这意味着,当Facebook和Instagram的iOS用户点击Facebook和Instagram帖子(或广告)中的链接时,Meta会启动自己的应用内浏览器,然后可以跟踪您在访问的外部网站上执行的操作。
Meta 对 JavaScript 注入的使用
“Instagram(和Facebook)应用程序将他们的JavaScript代码注入到显示的每个网站中,包括点击广告时。 尽管pcm.js不会这样做,但将自定义脚本注入第三方网站允许他们监控所有用户交互,例如点击的每个按钮和链接,文本选择,屏幕截图以及任何表单输入,如密码,地址和信用卡号,“Krause写道。
根据研究人员的说法,PCM.JS代码是注入到应用程序内浏览器中查看的网站中的外部JavaScript文件。 该代码由两个应用使用,并使两个应用能够在应用内网站内容和主机应用之间构建通信桥。 有关 PCM.JS的其他技术信息,请参阅此处。
Meta通过 《卫报》发表的一份声明回应了克劳斯的研究:
“我们特意开发了这个代码,以尊重人们在我们平台上的[要求跟踪]选择…… 该代码允许我们在将用户数据用于有针对性的广告或测量目的之前对其进行汇总。 我们不添加任何像素。 注入代码,以便我们可以从像素聚合转换事件。 对于通过应用内浏览器进行的购买,我们会征求用户同意保存付款信息以用于自动填充。
应用内浏览器和隐私风险
Krause表示,使用应用内浏览器,无论是Meta的还是其他公司的,都存在许多隐私风险。 对于初学者来说,它可以允许公司收集浏览器分析,例如点击,输入,滚动行为以及复制和粘贴数据,而无需明确的用户同意。
研究人员指出,应用内浏览器也可能被公司用作漏洞,以窃取主机服务中使用的用户凭据和API密钥,或注入广告和推荐链接以从网站虹吸广告收入。 虽然引用这些作为例子,但Krause并没有指责Meta的任何这些行为。
“正如我的理解所说,如果Instagram打开手机的默认浏览器,而不是构建和使用自定义的应用程序内浏览器,那么所有这些(隐私问题)都是不必要的,”他写道。
破坏 FUD 常见问题解答
虽然克劳斯的研究引发了隐私活动家的愤怒,但他小心翼翼地用他研究提出的问题的答案来缓和他的研究。
- Instagram/Facebook可以阅读我在网上所做的一切吗?不! Instagram只有在您从他们的应用程序中打开链接或广告时才能阅读和观看您的在线活动。
- Facebook真的会窃取我的密码、地址和信用卡号吗?不! 我没有证明Instagram正在跟踪的确切数据,但想展示他们可以在你不知情的情况下获得的数据。 如过去所示,如果公司有可能合法且免费地访问数据,而无需征求用户的许可,他们将对其进行跟踪。
- Instagram这样做是故意的吗?我不能说这些决定是如何在内部做出的。 我只能说,构建自己的应用内浏览器需要花费不小的时间进行编程和维护,而不仅仅是使用过去7年中已经内置于iPhone中的隐私和用户友好的替代方案。
Krause为这些应用程序的隐私用户提供了建议,并建议,“每当您打开Instagram(或Facebook或Messenger)的链接时,请确保单击角落中的点以在Safari中打开页面。他指出,Safari在默认情况下已经阻止了第三方cookie。
研究人员还谨慎地指出,他没有两个应用程序发送回Meta的精确数据列表。 “我确实有证据表明,Instagram和Facebook应用程序在未经用户同意的情况下主动运行JavaScript命令以注入额外的JavaScript SDK,并跟踪用户的文本选择,”他写道。
苹果的11字回应
今年7月,苹果公司升级了其隐私游戏,并宣布了一项名为 “锁定模式 ”的功能,据说该功能是“为极少数用户提供的极端可选安全级别,由于他们是谁或他们所做的事情,他们可能成为一些最复杂的数字威胁的个人目标,例如来自NSO集团和其他开发国有雇佣军间谍软件的私营公司的威胁。
研究人员上个月 向苹果提交了所谓的开放雷达社区错误报告, 声称“iOS锁定模式允许自定义应用内Web视图,主机应用程序可以窃取信息。
苹果在对该报告的评论中回应说:“感谢您的报告。 这不是锁定模式的用途。
Meta直接回应了Krause的报告,称PCM.JS JavaScript用于“帮助聚合事件,即在线购买,然后这些事件用于Facebook平台的定向广告和衡量。
Meta向Krause解释说,它尊重苹果的应用程序跟踪透明度(ATT)规则,该规则要求应用程序开发人员在跟踪之前获得许可。 研究人员指出,选择退出Meta的应用内浏览器跟踪取决于第三方网站对所谓的Meta Pixel的使用。 Meta Pixel是“JavaScript代码的一个片段,允许您跟踪网站上的访问者活动”,根据 Meta开发人员的描述。
研究人员承认Meta遵循ATT规则。
“根据Meta的说法,注入的脚本(pcm.js)帮助Meta尊重用户的ATT选择退出选择,这只有在渲染的网站安装了Meta Pixel时才相关,”Krause写道。