Новый анализ приложения Instagram показал, что каждый раз, когда пользователь нажимает на ссылку внутри приложения, Instagram способен отслеживать все его взаимодействия, выбор текста и даже ввод текста, такой как пароли и данные частных кредитных карт, на веб-сайтах внутри приложения.

В ходе анализа, проведенного Феликсом Краузе, было установлено, что Instagram и Facebook на iOS используют свой собственный встроенный браузер, а не тот, который предлагается Apple для сторонних приложений. Большинство приложений используют Safari от Apple для загрузки веб-сайтов, но Instagram и Facebook используют свой собственный браузер для загрузки веб-сайтов внутри приложения.

Благодаря своему пользовательскому браузеру, по-прежнему основанному на WebKit, Instagram и Facebook внедряют отслеживающий JavaScript-код под названием «Meta Pixel» во все ссылки и отображаемые веб-сайты. С помощью этого кода Meta имеет полную свободу отслеживать действия пользователей без их явного согласия, как выяснил Краузе.

Это позволяет Instagram отслеживать все, что происходит на внешних веб-сайтах, без согласия пользователя или поставщика веб-сайта.

Приложение Instagram внедряет свой отслеживающий код во все отображаемые веб-сайты, в том числе при нажатии на рекламу, что позволяет им отслеживать все действия пользователя, такие как каждое нажатое нажатие кнопки и ссылка, выбор текста, снимки экрана, а также ввод данных в формы, например, пароли, адреса и номера кредитных карт.

Как отмечает Краузе, компаниям, таким как Meta, требуется значительное усилие для разработки и поддержания собственного встроенного браузера, а не использования встроенного Safari от Apple. На своем портале для разработчиков Meta утверждает, что «Meta Pixel» предназначен для «отслеживания активности посетителей на вашем сайте» путем мониторинга всех событий, которые пользователь выполняет в их пользовательском браузере. Нет никаких доказательств того, что Meta, которой принадлежит Instagram, активно собирала данные пользователей, которые она способна собирать. Как пишет Краузе:

Действительно ли Facebook крадет мои пароли, адрес и номера кредитных карт? Нет! Я не доказал, какие именно данные отслеживает Instagram, но хотел показать, какие данные они могли бы получить, не давая вам знать. Как показали прошлые события, если компания имеет возможность бесплатно получить доступ к данным, не спрашивая разрешения пользователя, они будут их отслеживать.

Однако такая практика нарушает политику Apple «Прозрачность отслеживания приложений» (ATT). ATT требует, чтобы все приложения запрашивали согласие пользователя перед отслеживанием его действий в приложениях и на веб-сайтах, принадлежащих другим компаниям.

Meta неоднократно выступала против цели Apple предоставить пользователям возможность выбора, желают ли они отслеживаться или нет. В декабре 2020 года Meta опубликовала полностраничную газетную рекламу, атакующую Apple из-за этого изменения. Краузе говорит, что поделился своими выводами с Meta, которая ответила, подтвердив «проблему», но с тех пор больше не реагировала. Краузе заявил, что дал Meta двухнедельное уведомление, прежде чем принять решение обнародовать свои выводы.