Hai ứng dụng đã lợi dụng việc khi người dùng nhấp vào liên kết trên Facebook và Instagram, họ được được đưa đến các trang web bằng trình duyệt do Facebook hoặc Instagram kiểm soát, thay vì bằng các trình duyệt web sẵn có của người dùng chẳng hạn như Safari hoặc Firefox.
“Ứng dụng Instagram đưa mã theo dõi của họ vào mọi trang web được hiển thị, kể cả khi nhấp vào quảng cáo, cho phép họ giám sát tất cả các tương tác của người dùng, như mọi nút và liên kết được nhấn, lựa chọn văn bản, ảnh chụp màn hình cũng như bất kỳ hoạt động điền biểu mẫu nào, chẳng hạn như mật khẩu, địa chỉ và số thẻ tín dụng,” Felix Krause, một nhà nghiên cứu quyền riêng tư, người đã phát triển một công cụ phát triển ứng dụng được Google mua lại vào năm 2017, cho biết.
Trong một tuyên bố, Meta nói rằng việc đưa mã theo dõi tuân theo sở thích của người dùng về việc họ có cho phép các ứng dụng theo dõi hay không, và chỉ được sử dụng để tổng hợp dữ liệu trước khi được dùng cho các mục đích quảng cáo hoặc đo lường.
“Chúng tôi cố ý phát triển mã này để tôn trọng các lựa chọn [Yêu cầu được theo dõi] của mọi người trên nền tảng của chúng tôi,” một người phát ngôn của Meta cho biết. “Mã cho phép chúng tôi tổng hợp dữ liệu người dùng trước khi sử dụng nó cho mục đích quảng cáo hoặc đo lường được nhắm mục tiêu. Chúng tôi không thêm bất kỳ pixel nào vào các trang web. Mã được đưa vào để chúng tôi có thể tổng hợp các sự kiện từ các pixel. ”
Họ nói thêm: “Đối với các giao dịch mua được thực hiện thông qua trình duyệt trong ứng dụng, chúng tôi hỏi sự đồng ý của người dùng trước khi lưu thông tin thanh toán cho mục đích tự động điền”.
Krause đã phát hiện ra việc chèn mã bằng cách xây dựng một công cụ có thể liệt kê tất cả các lệnh bổ sung được trình duyệt tích hợp trong các ứng dụng của Meta thêm vào một trang web nhất định. Đối với các trình duyệt thông thường và hầu hết các ứng dụng, công cụ này không phát hiện thấy thay đổi nào, nhưng đối với Facebook và Instagram, công cụ tìm thấy tối đa 18 dòng mã được ứng dụng thêm vào. Những dòng mã đó dường như để cho phép công ty theo dõi người dùng trên web và xây dựng hồ sơ chính xác về sở thích của họ.
Công ty không tiết lộ cho người dùng rằng họ đang viết lại các trang web theo cách này khi người dùng dùng trình duyệt tích hợp trên Facebook và Meta. Theo nghiên cứu của Krause, không có mã nào như vậy được thêm vào trình duyệt tích hợp trong ứng dụng của WhatsApp.
“Chèn Javascript” - việc thêm mã vào trang web trước khi nó được hiển thị cho người dùng - thường được phân loại là một loại tấn công độc hại. Ví dụ, công ty an ninh mạng Feroot mô tả đây là một cuộc tấn công “cho phép kẻ đe dọa thao túng trang web hoặc ứng dụng web và thu thập dữ liệu nhạy cảm, chẳng hạn như thông tin nhận dạng cá nhân (PII) hoặc thông tin thanh toán”.
Không rõ khi nào Facebook bắt đầu thêm mã để theo dõi người dùng sau khi nhấp vào liên kết. Trong những năm gần đây, công ty đã có một cuộc đối đầu công khai ồn ào với Apple, sau khi Apple yêu cầu các nhà phát triển ứng dụng phải xin phép nếu muốn theo dõi người dùng trên các ứng dụng khác. Sau yêu cầu này, nhiều nhà quảng cáo Facebook nhận thấy mình không thể nhắm mục tiêu người dùng trên mạng xã hội này, cuối cùng dẫn đến doanh thu bị mất 10 tỷ đô la và giá cổ phiếu của công ty giảm 26% vào đầu năm nay.
Nguồn: https://www.theguardian.com/technology/2022/aug/11/meta-injecting-code-into-websites-visited-by-its-users-to-track-them-research-says