Ex-Google-ontwikkelaar: Bedrijven kunnen surfers via in-app browser volgen

15-08-2022 | door: Redactie
Deel dit artikel:

Ex-Google-ontwikkelaar: Bedrijven kunnen surfers via in-app browser volgen

Wie liever niet heeft dat zijn of haar volledige doen en laten gevolgd wordt door apps als Instagram of Facebook, kan beter niet doorklikken op links in die apps. Dat zegt een ex-Google ontwikkelaar in een rapport.

Volgens Felix Krause, ex-Googler en oprichter van automatiseringsbedrijf Fastlane, injecteren verschillende apps eigen Javascript code in de websites die ze je tonen in de in-app browser. Op die manier kunnen de apps je volledige doen en laten volgen, ook al heb je die tracking uitgezet in je eigen browser, noteert hij in een rapport.

Krause geeft het voorbeeld van Instagram of Facebook, beide onderdeel van Meta. Klik je daar binnen de iOS- of Android-app op een link, dan wordt die niet in je standaard browser (zoals Safari op iOS) geopend, maar in een versie waarover meta meer controle heeft. Die in-app browser zou eerst kijken of er al een tracking-tool van advertentie-organisatie IAB op de site zit, en als dat niet zo is, injecteert de browser zelf een Meta Pixel. Dit is een tracking tool van Meta, waarmee het bedrijf eerder al in de problemen kwam. Die tool stuurt data door naar de techgigant, al zegt Krause dat hij niet kan zien welke data wordt doorgestuurd.

Minder tracking door browsers zelf

Het rapport verschijnt terwijl een bredere trend gaande is naar minder tracking van de browsers zelf. Firefox en Safari blokkeren al langer cookies van derde partijen, iOS heeft een algemene beveiliging tegen tracking cookies en ook Google Chrome werkt aan een systeem om het de trackers van sites als Facebook te vervangen (al is het hier de vraag of hoe Chrome tracking door moederbedrijf Google zal aanpakken). Via de in-app browser zou Meta, dat zelf geen browsers or besturingssystemen uitbaat, toch die verschillende maatregelen kunnen omzeilen.

Krause geeft aan dat hij de 'bug' heeft gemeld bij het Bug Bounty Programma van Meta, en dat die ze kunnen reproduceren. Na enkele weken stilte heeft Meta echter nog niets aangepast, zegt hij, dus publiceert hij zijn bevindingen maar. In een reactie op de publicatie van zijn rapport, meldt Meta dat het script dat ze injecteren geen Meta Pixel script is, maar eentje dat online diensten zoals betalingen moet faciliteren. Wie het script wil vermijden, kan een link in Instagram, Facebook of andere apps openen via een eigen veilige browser (Safari, Brave, Firefox), in plaats van door te klikken in de app zelf.

In samenwerking met Data News

Terug naar nieuws overzicht
Mobility