Usuários de aplicativos do Instagram e do Facebook iOS da Apple receberam um aviso de que ambos os programas usam um navegador no aplicativo que permitirá que a Meta, a empresa-mãe, rastreie todos os usuários que visitam sites externos através do software.
Segundo Felix Krause, que analisou como o Meta rastreia os usuários em um post publicado na quarta-feira, esse tipo de monitoramento coloca as pessoas em “sérios perigos”. Ele alertou que ambas as versões do iOS dos apps podem “enviar cada ato de interação com websites externos, todos os dados de formulários, como palavras-chave e endereços, para cada movimento” a partir de seus navegadores no aplicativo.
A Apple abordou as preocupações dos usuários iOS sobre o rastreamento com a versão 2021 do iOS 14.5 e o recurso App Tracking Transparency (ATT). O novo controle exige que os desenvolvedores de aplicativos obtenham o consentimento do usuário antes de monitorar os dados gerados por aplicativos externos. Krause afirmou que aplicativos iOS do Facebook e Instagram estão explora uma brecha para burlar as regras ATT e rastrear atividades realizadas dentro de seus browsers no aplicativo, usando um código JavaScript personalizado. Portanto, quando um usuário iOS do Facebook e Instagram clica em um link dentro de um post do Facebook e Instagram (ou anúncio), Meta lança seu próprio navegador no aplicativo, permitindo que siga o que é feito em sites externos visitados.
Métodos de implementar código JavaScript por meio de injeção.
Ao acessar um site, o código JavaScript do Instagram [e Facebook] é implantado. Isso permite que eles acompanhem todos os movimentos do usuário, desde cliques em anúncios até seleções de texto, capturas de tela e, até mesmo, informações como senha, endereço e número de cartão de crédito, mencionou Krause.
Um PCM é uma abreviatura para “Protocolo de Comunicação Móvel”. O código JS, de acordo com o pesquisador, é um arquivo JavaScript externo introduzido em sites visualizados dentro de um navegador em um aplicativo. O código é usado por aplicativos móveis e permite que os dois programas criem uma ligação entre o conteúdo do site no aplicativo e o aplicativo hospedeiro. Mais informações técnicas sobre o PCM podem ser encontradas aqui.
Meta respondeu à pesquisa de Krause com uma declaração divulgada pelo The Guardian.
Desenvolvemos este código intencionalmente para apoiar as seleções [Ask to track] feitas pelas pessoas em nossas plataformas… O código nos dá a habilidade de reunir informações do usuário para uso em publicidade ou medição direcionada. Não usamos pixels adicionais. O código é inserido para que possamos acumular eventos de conversão de pixels. Para compras realizadas através do navegador do aplicativo, procuramos obter o consentimento do usuário para salvar detalhes de pagamento para fins de preenchimento automático.
Os usuários de aplicativos devem estar cientes dos riscos de privacidade e segurança que podem estar presentes ao usar navegadores em seus dispositivos.
De acordo com Krause, o emprego de navegadores nos aplicativos, seja da Meta ou de outra companhia, possui um número de riscos para a intimidade. Para iniciar, ele pode possibilitar que a empresa reúna dados de análise do navegador, como a movimentação, entradas, comportamento de deslizamento e dados de pagamento e cópia sem o consentimento expressivo do usuário.
Os navegadores encontrados no aplicativo podem ser usados por uma empresa como uma brecha para obter informações pessoais dos usuários, como chaves de API e dados de hospedagem. Estes podem ser usados para colocar anúncios em sites, ou mesmo links de referência para acompanhar as receitas de anúncios. Apesar de citá-los como exemplos, Krause não está acusando a Meta de nenhuma destas práticas.
Na minha opinião, se o Instagram usasse o navegador de telefone padrão ao invés de construir um navegador personalizado dentro do próprio aplicativo, todas as questões de privacidade não seriam tão importantes.
FAQs para desfazer rumores infundados
Enquanto a pesquisa de Krause vem despertando indignação entre defensores da privacidade, ele tem sido cuidadoso para responder às indagações levantadas pela sua investigação.
- Será que o Instagram/Facebook consegue ler tudo o que faço online? Não! Apenas quando você clica em um link ou anúncio dentro dos aplicativos da plataforma ele consegue acompanhar suas ações virtuais.
- O Facebook, por sua vez, não roubou minhas credenciais, meu endereço ou meu número de cartão de crédito? Não posso dizer com certeza o que exatamente o Instagram está monitorando, mas quero indicar o tipo de informação que eles podem extrair sem que você saiba. Como já foi demonstrado anteriormente, se uma companhia tem a chance de acessar dados sem solicitar a permissão do usuário, eles o farão.
- Não posso afirmar como as deliberações foram feitas internamente. Tudo que eu posso afirmar é que configurar seu próprio navegador dentro do aplicativo leva um tempo considerável para programar e mantê-lo, muito maior do que usar as ferramentas de privacidade que já foram montadas no iPhone ao longo dos últimos sete anos. Será que o Instagram está fazendo isso de propósito?
Krause aconselha usuários de aplicativos quanto à privacidade e sugere que, “se você estiver abrindo um link do Instagram (ou Facebook ou Messenger), verifique se você clica nos pontos no canto para abrir a página no Safari, em vez disso”. Ele destaca que o Safari bloqueia automaticamente cookies de terceiros.
Os pesquisadores foram cuidadosos para pontuar que não há uma lista definitiva de informações que os aplicativos Instagram e Facebook enviam para Meta. Eles demonstraram que ambos os aplicativos utilizam JavaScript para injetar um SDK JavaScript adicional sem o conhecimento do usuário, e para rastrear as seleções de texto do usuário.
A resposta da Apple ao longo de 11 semanas foi a seguinte.
Em julho, a Apple melhorou sua proteção de privacidade e apresentou o recurso Modo de Lockdown, que está disponível para usuários que podem ser alvo de ameaças digitais avançadas, tais como aquelas do Grupo NSO e outras empresas particulares que desenvolvem software de espionagem patrocinado pelo governo.
No mês passado, o pesquisador entregou o Open Radar Community Bug Report à Apple, indicando que o Modo de Bloqueio do iOS oferece vistas personalizadas no aplicativo, e que os softwares de alojamento poderiam extrair informações.
Apple agradeceu o relatório e declarou que o modo de bloqueio não está ali para isso.
Mate respondeu diretamente ao relatório de Krause que o Partner Categories Manager (PCM) é usado para contribuir com eventos, tais como compras online, e esses dados são então usados pela plataforma do Facebook para anúncios e medição direcionadas. O JavaScript da JX foi usado para ajudar nesse processo.
Krause foi informado por Meta que a regra de Transparência de Rastreamento de Aplicativos da Apple (ATT) é respeitada, o que significa que os desenvolvedores precisam obter autorização antes de realizar rastreamentos. O pesquisador descobriu que a Meta usa um código JavaScript chamado Meta Pixel para a otimização de rastreamento no aplicativo, o que permite monitorar as atividades do visitante em seu site, de acordo com a descrição do desenvolvedor.
O investigador admite que Meta está cumprindo as normas da AAT.
De acordo com Meta, o script injetado (pcm.js) é útil para que Meta observe as escolhas do usuário ATT opt out, o que só é possível se o site que está sendo exibido tiver o Meta Pixel instalado, conforme explicou Krause.
Altere: Divulgue este artigo.
- Todos os seres humanos têm o direito básico à privacidade.
