iOS隐私研究员菲利克斯·克劳斯(Felix Krause)发现,Facebook和Instagram使用自定义的应用内浏览器在其应用程序中呈现所有第三方链接,这种自定义浏览器可以跟踪各种用户互动。
这个定制的应用内浏览器据说是基于WebKit的,并且在所有显示的链接和网站中都注入了一个叫做“meta Pixel”的跟踪Javascript代码。有了这个代码,Facebook和Instagram可以在没有用户内容的情况下跟踪用户的互动。
这违反了苹果的应用程序跟踪透明度政策,该政策要求应用程序明确询问用户的许可来跟踪他们。
克劳斯表示,跟踪代码可以监控各种用户互动:“这使得Instagram可以监控外部网站上发生的一切,而无需征得用户或网站提供商的同意。
Instagram应用程序将跟踪代码注入到每个显示的网站中,包括点击广告时,使它们能够监控所有用户互动,比如点击的每个按钮和链接、文本选择、截图,以及任何表单输入,如密码、地址和信用卡号。”
克劳斯很快指出,这并不一定意味着Facebook和Instagram窃取了人们的密码和信用卡号。
相反,他的报告旨在强调应用内浏览器的跟踪代码的跟踪能力,以及用户如何保护自己。
“Facebook真的窃取了我的密码、地址和信用卡号码吗?”不!我没有证明Instagram追踪的确切数据,但我想展示的是他们可以在你不知情的情况下获得的数据。
克劳斯写道:“正如过去所显示的那样,如果一家公司有可能在不征求用户许可的情况下免费获取数据,他们就会跟踪这些数据。”
那么用户该如何保护自己呢?当你点击Facebook或Instagram中的链接时,确保你点击了角落里的三个点图标(右下角是Facebook,右上角是Instagram),然后选择“在浏览器中打开”选项,在Safari中访问链接,而不是Facebook或Instagram的自定义应用程序内浏览器。
有趣的是,只有Facebook和Instagram使用自定义应用内浏览器打开链接。meta旗下的另一项服务WhatsApp使用Safari浏览器打开应用程序。
