Khi người dùng nhấp vào một liên kết bất kì trên Facebook hoặc Instagram, ứng dụng sẽ ngay lập tức chuyển hướng người dùng đến trang web đích bằng trình duyệt tích hợp (do Meta kiểm soát), thay vì mở liên kết bằng trình duyệt do người dùng lựa chọn (Safari, Google Chrome, Firefox…).
“Ứng dụng Instagram đưa mã theo dõi của họ vào mọi trang web được hiển thị, kể cả khi nhấp vào quảng cáo, cho phép họ giám sát tất cả các tương tác của người dùng, như mọi nút và liên kết được nhấn, lựa chọn văn bản, ảnh chụp màn hình cũng như bất kỳ hoạt động điền biểu mẫu nào, chẳng hạn như mật khẩu, địa chỉ và số thẻ tín dụng”, Felix Krause, nhà nghiên cứu quyền riêng tư, người đã xây dựng một công cụ phát triển ứng dụng được Google mua lại vào năm 2017, cho biết.
Phản hồi lại vấn đề này, Meta nói rằng việc đưa mã theo dõi tuân theo sở thích của người dùng về việc họ có cho phép các ứng dụng theo dõi hay không, và chỉ được sử dụng để tổng hợp dữ liệu trước khi được dùng cho các mục đích quảng cáo hoặc đo lường.
“Chúng tôi phát triển mã này để tôn trọng các lựa chọn [Yêu cầu được theo dõi] của người dùng trên nền tảng của chúng tôi”, người phát ngôn của Meta cho biết. “Mã cho phép chúng tôi tổng hợp dữ liệu người dùng trước khi sử dụng nó cho mục đích quảng cáo hoặc đo lường được nhắm mục tiêu. Chúng tôi không thêm bất kỳ pixel nào vào các trang web. Mã được đưa vào để chúng tôi có thể tổng hợp các sự kiện từ các pixel. ”
“Đối với các giao dịch được thực hiện thông qua trình duyệt trong ứng dụng, chúng tôi sẽ hỏi người dùng trước khi lưu thông tin thanh toán để tự động điền cho những lần sau”, đại diện Meta cho biết thêm.
Krause đã phát hiện ra việc chèn mã bằng cách xây dựng một công cụ có thể liệt kê tất cả các lệnh bổ sung được trình duyệt tích hợp trong các ứng dụng của Meta thêm vào một trang web nhất định. Đối với các trình duyệt thông thường và hầu hết các ứng dụng, công cụ này không phát hiện thấy thay đổi nào, nhưng đối với Facebook và Instagram, công cụ tìm thấy tối đa 18 dòng mã được ứng dụng thêm vào. Những dòng mã đó dường như để cho phép công ty theo dõi người dùng trên web và xây dựng hồ sơ chính xác về sở thích của họ.
Công ty không tiết lộ cho người dùng rằng họ đang viết lại các trang web theo cách này khi người dùng dùng trình duyệt tích hợp trên Facebook và Meta. Theo nghiên cứu của Krause, không có mã nào như vậy được thêm vào trình duyệt tích hợp trong ứng dụng của WhatsApp.
Việc thêm mã bổ sung vào trang web trước khi nó được hiển thị cho người dùng thường được coi là một loại tấn công độc hại. Công ty an ninh mạng Feroot mô tả đây là một cuộc tấn công “cho phép kẻ đe dọa thao túng trang web hoặc ứng dụng và thu thập dữ liệu nhạy cảm, chẳng hạn như thông tin nhận dạng cá nhân (PII) hoặc thông tin thanh toán”.