Meta-Injektion von Code in Websites, um ihre Benutzer zu verfolgen, sagt die Forschung | Meta

Meta, der Eigentümer von Facebook und Instagram, hat die Websites, die seine Nutzer besuchen, umgeschrieben und lässt das Unternehmen ihnen über das Internet folgen, nachdem sie auf Links in seinen Apps geklickt haben, so eine neue Studie eines ehemaligen Google-Ingenieurs.

Die beiden Apps machen sich die Tatsache zunutze, dass Benutzer, die auf Links klicken, zu Webseiten in einem „In-App-Browser“ weitergeleitet werden, der von Facebook oder Instagram gesteuert wird, anstatt an den Webbrowser des Benutzers der Wahl, wie Safari oder Feuerfuchs.

„Die Instagram-App fügt ihren Tracking-Code in jede angezeigte Website ein, auch wenn sie auf Anzeigen klickt, und aktiviert sie [to] Überwachen Sie alle Benutzerinteraktionen, wie z. B. alle angetippten Schaltflächen und Links, Textauswahlen, Screenshots sowie alle Formulareingaben wie Passwörter, Adressen und Kreditkartennummern. sagt Felix Krauseein Datenschutzforscher, der ein 2017 von Google übernommenes App-Entwicklungstool gegründet hat.

In einer Erklärung sagte Meta, dass das Einfügen eines Tracking-Codes den Präferenzen der Benutzer entsprach, ob sie Apps erlauben, ihnen zu folgen oder nicht, und dass er nur zum Sammeln von Daten verwendet wurde, bevor er für gezielte Werbe- oder Messzwecke für diejenigen Benutzer angewendet wurde, die sich abgemeldet hatten eines solchen Trackings.

„Wir haben diesen Kodex absichtlich entwickelt, um die Menschen zu ehren [Ask to track] Wahlmöglichkeiten auf unseren Plattformen“, sagte ein Sprecher. „Der Code ermöglicht es uns, Benutzerdaten zu aggregieren, bevor wir sie für gezielte Werbe- oder Messzwecke verwenden. Wir fügen keine Pixel hinzu. Code wird eingefügt, damit wir Conversion-Ereignisse von Pixeln aggregieren können.“

Sie fügten hinzu: „Für Käufe, die über den In-App-Browser getätigt werden, holen wir die Zustimmung des Benutzers ein, Zahlungsinformationen zum Zweck des automatischen Ausfüllens zu speichern.“

Krause entdeckte die Code-Injektion, indem er ein Tool entwickelte, das alle zusätzlichen Befehle auflisten konnte, die einer Website vom Browser hinzugefügt wurden. Bei normalen Browsern und den meisten Apps erkennt das Tool keine Änderungen, aber bei Facebook und Instagram findet es bis zu 18 Codezeilen, die von der App hinzugefügt wurden. Diese Codezeilen scheinen nach einem bestimmten plattformübergreifenden Tracking-Kit zu suchen und rufen, wenn es nicht installiert ist, stattdessen das Meta Pixel auf, ein Tracking-Tool, mit dem das Unternehmen einem Benutzer im Internet folgen und ein genaues Profil seiner Interessen erstellen kann.

Melden Sie sich für First Edition an, unseren kostenlosen täglichen Newsletter – jeden Wochentag morgens um 7 Uhr BST

Das Unternehmen gibt dem Benutzer nicht bekannt, dass es Webseiten auf diese Weise umschreibt. Krauses Recherchen zufolge wird dem In-App-Browser von WhatsApp kein solcher Code hinzugefügt.

„Javascript-Injection“ – die Praxis, einer Webseite zusätzlichen Code hinzuzufügen, bevor sie einem Benutzer angezeigt wird – wird häufig als eine Art böswilliger Angriff eingestuft. Das Cybersicherheitsunternehmen Feroot zum Beispiel beschreibt es als Angriff die es „dem Angreifer ermöglicht, die Website oder Webanwendung zu manipulieren und sensible Daten wie personenbezogene Daten (PII) oder Zahlungsinformationen zu sammeln“.

Es gibt keinen Hinweis darauf, dass Meta seine Javascript-Injektion verwendet hat, um solche sensiblen Daten zu sammeln. In der Beschreibung des Unternehmens zum Meta Pixel, das normalerweise freiwillig zu Websites hinzugefügt wird, um Unternehmen bei der Werbung für Benutzer auf Instagram und Facebook zu helfen, heißt es, dass das Tool „es Ihnen ermöglicht, die Besucheraktivitäten auf Ihrer Website zu verfolgen“ und dass es damit verbundene Daten sammeln kann.

Es ist unklar, wann Facebook damit begann, Code einzuschleusen, um Benutzer nach dem Klicken auf Links zu verfolgen. In den letzten Jahren hatte das Unternehmen eine laute öffentliche Auseinandersetzung mit Apple, nachdem Apple eine Anforderung für App-Entwickler eingeführt hatte, um die Erlaubnis zu erbitten, Benutzer über Apps hinweg zu verfolgen. Nachdem die Aufforderung gestartet wurde, waren viele Facebook-Werbetreibende nicht in der Lage, Nutzer im sozialen Netzwerk anzusprechen, was laut Meta zu einem Umsatzverlust von 10 Milliarden US-Dollar und einem Rückgang des Aktienkurses des Unternehmens Anfang dieses Jahres um 26 % führte.

source site-27