Bir geliştiricinin iddiasına göre Instagram ve Facebook, bu uygulamaların uygulama içi tarayıcısı aracılığıyla kullanıcıları takip ediyor. Geliştiriciye göre, uygulama içi tarayıcılar, bu sayfalar şifreli olsa bile her sayfaya Javascript enjekte ediyor.
Geliştirici Felix Krause, uygulama içi tarayıcılarda Javascript’i algılamak için bir araç geliştirdi. Ona göre enjeksiyon, Instagram, Facebook ve Messenger’ın iOS ve Android uygulamalarında yapılıyor.
Ayrıca bkz: ABD’de Eski Twitter Çalışanı Casusluk Suçlamasıyla Tutuklandı!
Uygulama içi tarayıcılar önce reklamcılık kuruluşu IAB’den bir izleme SDK’sının olup olmadığını kontrol eder ve sayfada yoksa tarayıcı Meta Piksel’i enjekte eder. Daha sonra şifrelenmiş verileri şirkete iletir. Krause bunun hangi veri olduğunu göremiyor. SDK, diğer şeylerin yanı sıra, kullanıcıların hangi metni seçtiğini, nasıl kaydırdıklarını ve hangi reklamları gördüklerini izleyebilir.
Kullanıcılar, uygulama içi tarayıcıda bir bağlantı açtıktan sonra, bağlantıyı Firefox veya Brave gibi normal bir tarayıcıda veya iOS’ta Safari ve Android’de Chome gibi standart tarayıcılarda açma seçeneğine hemen tıklayarak kendilerini koruyabilirler.
Krause, kodun şirketin Bug Bounty programında bir hata olarak enjekte edildiğini bildirdi ve şirketin davranışı yeniden oluşturabileceğine dair birkaç saat içinde onay aldığını söyledi. Bundan sonra Meta‘dan bir daha haber alınamadı. Meta iddiaya yanıt vermedi.
Bu izleme, şirket için önemli bir gelir kaynağı olan kişiselleştirilmiş reklamlar için veri sağlar. iOS, izlemeye izin vermek için bir açılır pencere gösterdiğinden şirket gelir kaybetti.
Kaynak: Felix Krause, MacRumors