Der In-App-Browser von Facebook fügt JavaScript in Websites von Drittanbietern ein

Fastlane-Gründer Felix Krause hat aufgedeckt(Öffnet in einem neuen Fenster) dass die In-App-Browser von Facebook und Instagram JavaScript in Websites von Drittanbietern einfügen.

Krause sagte ursprünglich, dass die In-App-Browser das Meta-Pixel injizierten, das Meta beschreibt(Öffnet in einem neuen Fenster) als „ein JavaScript-Code-Snippet, mit dem Sie die Besucheraktivitäten auf Ihrer Website verfolgen können“, aber hat seitdem seinen Bericht aktualisiert, um zu sagen, dass die mobilen Apps des Unternehmens für soziale Netzwerke ein Skript einfügen, das als „pcm.js(Öffnet in einem neuen Fenster)“. Ein Kommentar in diesem Skript erklärt, dass es „entwickelt wurde, um die Privatsphäre der Menschen zu respektieren und [App Tracking Transparency] Wahlmöglichkeiten”, während sie Facebook und Instagram nutzen.

App Tracking Transparency ist ein Framework, das Apple mit iOS 14.5 eingeführt hat und das Entwickler erfordert Erlaubnis zu erbitten um Tracking-Daten von ihren Benutzern zu sammeln. Meta hat wiederholt kritisiert das Framework und teilte Facebook- und Instagram-Nutzern mit, dass es auf Tracking-Daten – oder zumindest die Werbeeinnahmen, die es unterstützt – angewiesen ist seine Dienste kostenlos halten. Seine Apps müssen jedoch immer noch Benutzeranfragen erfüllen, um nicht verfolgt zu werden, und das Unternehmen sagt, dass deshalb seine Browser das „pcm.js“-Skript einschleusen.

„Dieser Code wird in In-App-Browser eingefügt, um das Sammeln von Konversionsereignissen von Pixeln zu unterstützen, die von Unternehmen auf ihrer Website eingerichtet wurden, bevor diese Ereignisse für gezielte Werbe- oder Messzwecke verwendet werden“, sagt Meta in einem Kommentar zum Skript. “Keine andere Benutzeraktivität wird mit diesem Javascript verfolgt.”

Krause sagt: „Das Einfügen von benutzerdefinierten Skripten in Websites von Drittanbietern ermöglicht es ihnen, alle Benutzerinteraktionen zu überwachen, wie z. B. jede angetippte Schaltfläche und jeden angetippten Link, Textauswahl, Screenshots sowie alle Formulareingaben wie Passwörter, Adressen und Kreditkartennummern.“ Er stellt fest, dass Meta anscheinend nichts so Böswilliges tut, aber das Unternehmen hat den Bericht dennoch kritisiert, wobei Andy Stone, Kommunikationsdirektor von Meta, auf Twitter sagte:

Es gibt viele Fragen zu Metas Entscheidung, JavaScript über die In-App-Browser von Facebook und Instagram einzufügen. Krause sagt, er habe dieses Verhalten über das Bug-Bounty-Programm von Meta gemeldet, ihm wurde innerhalb weniger Stunden mitgeteilt, dass Metas Ingenieure das „Problem“ reproduzieren könnten, und dann … etwa 11 Wochen lang nichts gehört. Es ist nicht klar, warum Meta es versäumt hat, zusätzliche Auskunftrmationen über diese Praxis anzubieten (oder warum es die JavaScript-Injektion als „Problem“ bezeichnete), bis Krause seinen Bericht veröffentlicht hatte.

Meta antwortete auf eine Bitte um Stellungnahme mit der folgenden Erklärung: „Diese Behauptungen sind falsch und stellen die Funktionsweise von Metas In-App-Browser und Pixel falsch dar. Wir haben diesen Code absichtlich entwickelt, um die Entscheidungen der Menschen zur App-Tracking-Transparenz auf unseren Plattformen zu würdigen.“ Diese Erklärung wurde abgegeben, nachdem Krause seinen Bericht aktualisiert hatte, um zu sagen, dass die In-App-Browser das Metapixel jedoch nicht injizieren, und die erste Bitte um Stellungnahme ausdrücklich das „pcm.js“-Skript erwähnte.

Von unseren Redakteuren empfohlen

Das Unternehmen reagierte nicht sofort auf eine Anfrage nach zusätzlichen Auskunftrmationen darüber, welche Art von Daten über das „pcm.js“-Skript gesammelt werden, wie das Skript verhindert, dass Ereignisdaten aus dem Meta-Pixel für Tracking-Zwecke verwendet werden, oder ob die Facebook und Instagram-In-App-Browser fügen auch andere Skripte ein.

Im Moment scheint Meta ein System geschaffen zu haben, das es erfordert, sich wissentlich an fragwürdigem Verhalten zu beteiligen – das Einfügen von benutzerdefinierten Skripten in jede Website von Drittanbietern, die von den mehr als einer Milliarde Nutzern von Facebook und Instagram über ihre In-App-Browser besucht werden – nur um ihren Anforderungen nicht nachzukommen verfolgt werden.

<div x-data="window.newsletters()" x-init="initNewsletter("id":5,"list_id":17707707,"status":"Published","title":"SecurityWatch","deck":"Our experts keep you safe from malware, viruses, hacks, and privacy exploits by keeping you current on the latest vulnerabilities.","slug":"securitywatch","courier_list":"PCMag Security Watch","image":"path":"newsletters/17707707.jpg","metadata":"alt_text":"Newsletter image","preview_link":"https://secure.campaigner.com/csb/Public/show/g6xi-2fbk9l–vmbga-b5ekdoe7","contextual_title":"Like What You're Reading?","contextual_deck":"Sign up for Sicherheitswache Newsletter für unsere wichtigsten Datenschutz- und Sicherheitsgeschichten direkt in Ihren Posteingang. “last_published_at”:”2022-03-24T14:57:28.000000Z”,”created_at”:null,”updated_at”:”2022-03-24T14:57:33.000000Z”)” x-show=”showEmailSignUp() ” class=”rounded bg-gray-lightest text-center md:px-32 md:py-8 p-4 mt-8 container-xs”>

Gefällt dir, was du liest?

Melden Sie sich an für Sicherheitswache Newsletter für unsere wichtigsten Datenschutz- und Sicherheitsgeschichten, die direkt in Ihren Posteingang geliefert werden.

Dieser Newsletter kann Werbung, Angebote oder Affiliate-Links enthalten. Das Abonnieren eines Newsletters erklärt Ihr Einverständnis mit unseren Nutzungsbedingungen und Datenschutz-Bestimmungen. Sie können die Newsletter jederzeit abbestellen.

Newsletter

Leave a Reply

Your email address will not be published.

This site uses Akismet to reduce spam. Learn how your comment data is processed.