‘In-app browser laat bedrijven surfers toch tracken’
Wie liever niet heeft dat zijn of haar volledige doen en laten gevolgd wordt door apps als Instagram of Facebook, klikt best niet door op links in die apps. Dat zegt een ex-Google ontwikkelaar in een rapport.
Volgens Felix Krause, ex-Googler en oprichter van automatiseringsbedrijf Fastlane, injecteren verschillende apps eigen Javascript code in de websites die ze je tonen in de in-app browser. Op die manier kunnen de apps je volledige doen en laten volgen, ook al heb je die tracking uitgezet in je eigen browser, noteert hij in een rapportje.
Krause geeft het voorbeeld van Instagram of Facebook, beide onderdeel van Meta. Klik je daar binnen de iOS- of Android-app op een link, dan wordt die niet in je standaard browser (zoals Safari op iOS) geopend, maar in een versie waarover meta een pak meer controle heeft. Die in-app browser zou eerst kijken of er al een tracking-tool van advertentie-organisatie IAB op de site zit, en als dat niet zo is, injecteert de browser zelf een Meta Pixel (een tracking tool van Meta, waarmee het bedrijf eerder al in de problemen kwam). Die tool stuur data door naar de techgigant, al zegt Krause dat hij niet kan zien welke data wordt doorgestuurd.
Weg met cookies
Het rapportje komt er temidden van een bredere trend naar minder tracking van de browsers zelf. Firefox en Safari blokkeren al langer cookies van derde partijen, iOS heeft een algemene beveiliging tegen tracking cookies en ook Google Chrome werkt aan een systeem om het de trackers van sites als Facebook te vervangen (al is het hier de vraag of hoe Chrome tracking door moederbedrijf Google zal aanpakken). Via de in-app browser zou Meta, dat zelf geen browsers or besturingssystemen uitbaat, toch die verschillende maatregelen kunnen omzeilen.
Krause geeft aan dat hij de ‘bug’ heeft gemeld bij het Bug Bounty Programma van Meta, en dat die ze kunnen reproduceren. Na enkele weken stilte heeft Meta echter nog niets aangepast, zegt hij, dus publiceert hij zijn bevindingen maar. In een reactie op de publicatie van zijn rapport, meldt Meta dat het script dat ze injecteren geen Meta Pixel script is, maar eentje dat online diensten zoals betalingen moet faciliteren. Wie het script wil vermijden, doet er beter aan om link in Instagram, Facebook of andere apps gewoon via een eigen veilige browser (Safari, Brave, Firefox) te openen, in plaats van door te klikken in de app zelf.
Fout opgemerkt of meer nieuws? Meld het hier