Facebook e Instagram tracciano le attività degli utenti nei siti aperti con le due app

Meta, la “casa madre” di Facebook, Instagram, WhatsApp e Oculus VR, è di nuovo al centro di una questione legata alla privacy.
A puntare il dito contro l’azienda guidata da Mark Zuckerberg è Felix Krause, fondatore del progetto fastlane, uno strumento open source per iOS e Android che aiuta a snellire il processo di creazione e distribuzione delle app. Da grande conoscitore dei temi legati alla privacy, Krause ha rilevato un comportamento considerato anomalo con le app Facebook e Instagram per i dispositivi iOS decidendo di approfondire.

Ne è risultato un “j’accuse” che Krause indirizza a Meta-Facebook e che contiene anche alcune proposte e soluzioni pratiche.
Il ricercatore ha scoperto che le app Facebook e Instagram possono raccogliere informazioni sulle attività svolte dagli utenti nelle pagine Web aperte cliccando sui link.
Invece di usare il browser Safari integrato in iOS, Facebook e Instagram sfruttano un browser in-app personalizzato. “Ciò consente alle app di Facebook di monitorare tutto ciò che accade su siti Web esterni senza il consenso dell’utente né del gestore del sito Web“, scrive Krause.

Le app in questione inietterebbero il loro codice di monitoraggio in ogni pagina Web che l’utente sceglie di visualizzare, anche quando viene cliccato un annuncio.
In questo modo Meta-Facebook può rilevare ed eventualmente registrare tutte le interazioni dell’utente come ogni pulsante e collegamento utilizzato, le selezioni di testo, i dati inseriti nei form online come password, indirizzi e numeri di carte di credito.

Le app Facebook e Instagram non possono raccogliere informazioni sulle attività online svolte dall’utente usando ad esempio Safari. La raccolta dei dati, spiega Krause, avviene solo quando si apre un link o un annuncio all’interno delle due applicazioni iOS.
A scanso di equivoci, il ricercatore ha voluto chiarire che egli non ha modo di stabilire esattamente quali dati Facebook stia eventualmente memorizzando. Sarebbe scorretto sostenere che si sta verificando una sottrazione di password e numeri di carte di credito.

Parlando di Facebook con Messenger abbiamo visto quanto le applicazioni dell’azienda di Zuckerberg siano richieste e popolari. E abbiamo anche detto che per usare Messenger non è necessario installare sul dispositivo mobile la versione più pesante dell’applicazione Facebook né essere iscritti al social network.
Qualunque applicazione di Meta si utilizzi, per evitare di condividere ancora dati con l’azienda di Menlo Park è sufficiente chiedere di aprire i link con Safari: basta toccare i puntini nell’angolo per aprire la pagina con il browser Apple.

Nel suo lungo post Krause spiega come è riuscito a far emergere il comportamento tenuto dalle app Facebook e mostrare un avviso (“JavaScript injection detected“) quando il codice della pagina visitata dall’utente viene alterato.

Fino a quando i tecnici di Meta non interverranno per modificare il comportamento delle loro app, Krause suggerisce agli amministratori di siti Web il codice da aggiungere per bloccare il monitoraggio esercitato in modo automatico (si tratta di aggiungere due tag HTML span vuoti assegnando a ciascuno di essi una denominazione ben precisa).

La posizione di Meta: affermazioni false che travisano la modalità di funzionamento del browser in-app

Con una presa di posizione ufficiale Meta ha bollato come “false” le affermazioni pubblicate da Krause.
“Queste affermazioni sono false e travisano il funzionamento del browser in-app e del Pixel di Meta. Abbiamo intenzionalmente sviluppato questo codice per onorare le scelte di App Tracking Transparency fatte dalle persone sulle nostre piattaforme“, ha affermato un portavoce di Meta.

L’azienda di Zuckerberg ci ha fatto sapere che il ricercatore è stato informato sul funzionamento del codice e sul perché le sue affermazioni sono errate. Stando a quanto riferitoci nei prossimi giorni Krause potrebbe aggiornare il suo intervento.

Un primo aggiornamento del post iniziale

Da parte sua Krause conferma di essere stato contattato da Meta e aggiunge: “dopo la pubblicazione del post sul blog, Meta ha inviato una risposta spiegando come il sistema da loro costruito rispetti la scelta App Tracking Transparency dell’utente. Tuttavia, sono ancora in attesa di una risposta sul perché sia necessario iniettare codice JavaScript aggiuntivo in siti Web di terze parti per verificare se un Meta Pixel è impostato considerato che i siti Web con un Meta Pixel impostato non avrebbero bisogno di codice JavaScript aggiuntivo da caricare. Aggiornerò il post non appena avrò ricevuto risposta“.