Instagram, Facebook e Messenger spione: su iOS tracciano l’attività web dell’utente senza permesso [AGGIORNATA]

da Hardware Upgrade :

Lo sviluppatore Felix Krause, particolarmente attento a tutto ci che
riguarda il sistema di privacy e trasparenza di iOS, ha pubblicato sul
proprio blog il resoconto di un’analisi che mostra come le app di Meta,
quindi Instagram, Facebook e Messenger, sono in grado di monitorare le
interazioni dell’utente quando questi fa clic su un collegamento web
all’interno dell’app
aprendolo con il browser integrato invece che
con quello fornito da Apple per le app di terze parti.

La maggior parte delle app fa uso di Safari per caricare siti web, ma
Instagram e Facebook su iOS utilizzano il proprio browser in-app. Tramite
il loro browser le tre app iniettano un codice JavaScript di
tracciamento
, che altro non se non il
noto “Meta pixel”
, in tutti i link e i siti web a cui si accede
direttamente dalle app cliccando su un link.

Sfruttando questo codice Meta ha la possibilit di tracciare
qualsiasi interazione che l’utente compie mentre visita una pagina web,
senza il suo esplicito consenso
. Interazioni che possono essere
apertura di altri link, selezione di testo, screenshot, qualsiasi tipo di
input testuale e via discorrendo.




C’ il rischio, quindi, che Meta possa tracciare anche l’inserimento di
dati sensibili da parte dell’utente, anche se Krause
sottolinea
di non avere elementi che possano confermare ci, ma di
aver solamente illustrato quale genere di dati e informazioni il Meta
pixel potrebbe essere in grado di tracciare.

Ovviamente tutto ci in aperta violazione della politica di Apple
per la trasparenza delle attivit di tracciamento
, che richiede che
qualsiasi app di terze parti ottenga l’esplicita autorizzazione
dell’utente per questo tipo di operazioni.

Krause precisa inoltre che non vi sono prove che Meta abbia raccolto
attivamente i dati che in grado di raccogliere e ha segnalato a Meta
quanto individuato ritenendolo, in assoluta buona fede, un “bug”
e
non un comportamento volontario. La societ ha risposto allo sviluppatore
affermando di essere stata in grado di “replicare il problema”: da allora,
racconta Krause, sono passate 9 settimane senza ulteriori repliche e lo
sviluppatore ha inviato alcune altre domande a Meta concedendo un
preavviso di due settimane prima di divulgare pubblicamente quanto
scoperto.

Come indicato sopra, il problema interessa le app Facebook, Instagram e
Messenger le quali fanno uso di un browser integrato. WhatsApp non
invece toccata dal problema
poich rimanda direttamente al browser
esterno Safari quando l’utente desidera aprire un link.

Il suggerimento che si pu dare per aggirare quanto individuato da Krause
quello di aprire la pagina web in Safari: per fare ci bisogner
comunque passare dal browser integrato, ma a questo punto si potr aprire
il menu con i tre pallini e selezionare l’opzione per visitare la pagina
dal browser web del sistema operativo. In alternativa possibile
procedere “a mano” copiando il link e incollandolo nella barra indirizzi
di Safari (o del browser preferito).

Che si tratti di dimenticanza o di volont, Meta non ha comunque mai
fatto mistero di non gradire la politica di Apple circa la trasparenza
sul tracciamento
delle attivit dell’utente, ammettendo inoltre come
essa abbia avuto un contraccolpo
significativo sui suoi conti nella misura di 10 miliardi di dollari per
l’intero 2022
.

Aggiornamento – 11/08/2022 ore 18:30

Meta ha contattato Krause smentendo gli esiti della sua analisi e
spiegando in realt come abbia travisato il funzionamento del browser
integrato nelle varie applicazioni e del Meta pixel e che il codice
sviluppato rispetta le direttive App Tracking Transparency di Apple.

Un portavoce di Meta ha dichiarato, in riferimento al post di Krause:

Queste affermazioni sono
false e travisano il funzionamento del browser in-app e del Pixel di
Meta. Abbiamo intenzionalmente sviluppato questo codice per onorare le
scelte di App Tracking Transparency fatte dalle persone sulle nostre
piattaforme”.

Lo sviluppatore ha aggiornato il post sul proprio blog, affermando per
di essere in attesa di ulteriori delucidazioni.

Source link