متا مجبور به اعتراف شد: اینستاگرام با تزریق کد به وب‌سایت‌ها فعالیت کاربران را رهگیری می‌کند

براساس نوشته‌ی گاردین، متا (شرکت مادر فیسبوک و اینستاگرام و واتساپ) مدت‌ها است وب‌سایت‌های بازدید‌شده توسط کاربرانش را بازنویسی می‌کند تا بتواند آن‌ها را در سراسر وب رهگیری کند. تحقیقات جدیدی که توسط مهندس سابق گوگل انجام شده نشان می‌دهد رهگیری کاربران نتیجه‌ی استفاده‌ی آن‌ها از مرورگرهای داخلی فیسبوک و اینستاگرام است. کاربران با کلیک روی لینک‌ها در فیسبوک و اینستاگرام به مرورگر داخلی این دو شبکه‌ی اجتماعی منتقل می‌شوند نه مرورگر پیش‌فرض گوشی مثل فایرفاکس یا سافاری. مرورگرهای داخلی فیسبوک و اینستاگرام توسط متا کنترل می‌شود.

فلیکس کراوز، پژوهشگر حوزه‌ی حریم خصوصی که یک ابزار توسعه‌ی اپلیکیشن ساخت و گوگل آن را در سال ۲۰۱۷ تصاحب کرد، می‌گوید: «اپلیکیشن اینستاگرام، کد رهگیری را به درون تمامی وب‌سایت‌هایی که نمایش داده می‌شوند تزریق می‌کند، از جمله زمانی که کاربر روی تبلیغات کلیک می‌کند. این کد به اینستاگرام امکان می‌دهد روی همه‌ی تعاملات کاربر نظیر تمامی گزینه‌ها و لینک‌های کلیک‌شده، متن‌های انتخاب‌شده، اسکرین‌شات‌ها و تمامی ورودی‌هایی نظیر رمز عبور، آدرس و شماره‌ی کارت اعتباری که در فرم‌های آنلاین وارد می‌شود، نظارت کند.»

متا در بیانیه‌ای که برای گاردین ارسال کرده است می‌گوید تزریق کد رهگیری به وب‌سایت‌ها را کتمان نمی‌کند. متا می‌گوید سیستم تزریق کد تابع این است که کاربر به اپلیکیشن فیسبوک یا اینستاگرام اجازه‌ی رهگیری فعالیت‌هایش را بدهد یا نه. به گفته‌ی متا این سیستم با هدف تجمیع داده‌ها مورد استفاده قرار گرفته است.

فردی به نمایندگی از متا می‌گوید: «ما عمداً این کد را توسعه دادیم تا به انتخاب‌های مردم در پلتفرم‌هایمان احترام بگذاریم. این کد به ما امکان می‌دهد داده‌‌های کاربر را قبل از استفاده برای تبلیغات هدفمند یا تهیه‌ی آمار، تجمیع کنیم. ما هیچ پیکسلی اضافه نمی‌کنیم. کد را با این هدف تزریق می‌کنیم که بتوانیم رویدادهای تبدیلی را از پیکسل‌ها جمع کنیم.»

نماینده‌ی متا در ادامه می‌گوید: «در رابطه‌ با خریدهایی که ازطریق مرورگر داخلی انجام می‌گیرد، قبل از ذخیره‌ی اطلاعات پرداخت با هدف تکمیل خودکار فرم‌ها، از کاربر اجازه می‌گیریم.»

فلیکس کراوز ابزاری ساخته است که می‌تواند تمامی دستورهای اضافه‌شده به وب‌سایت‌ها توسط مرورگر را فهرست کند و ازطریق همین ابزار متوجه تزریق کد توسط فیسبوک و اینستاگرام به وب‌سایت‌ها شده است. ابزار موردبحث در مرورگرهای عادی و اکثر اپلیکیشن‌ها هیچ تغییری مشاهده نکرد، اما متوجه شد که فیسبوک و اینستاگرام حداکثر ۱۸ خط کد به وب‌سایت‌ها اضافه کرده‌اند. به‌نظر می‌رسد این کدها وب‌سایت را برای پیدا کردن یک کیت رهگیری چندپلتفرمه اسکن می‌کنند و اگر بفهمند که سایت مدنظر به این کیت مجهز نیست، «متا پیکسل» را فرا می‌خوانند. متا پیکسل ابزاری است که به متا امکان می‌دهد کاربران را در سراسر دنیای وب رهگیری کند و پروفایلی دقیق شامل موضوعات موردعلاقه‌ی آن‌ها بسازد. نکته‌ی مهم این است که متا درباره‌ی بازنویسی کد وب‌سایت‌ها به کاربر اطلاع‌رسانی نمی‌کند.

براساس گفته‌ی فلیکس کراوز، مرورگر داخلی واتساپ چنین عملکردی ندارد و به وب‌سایت‌ها کد تزریق نمی‌کند.

«تزریق جاوااسکریپت» به اضافه کردن کد به صفحات وب قبل از نمایش به کاربر گفته می‌شود و پژوهشگران غالبا این تکنیک را به‌عنوان نوعی حمله‌ی مخرب به وب‌سایت‌ها دسته‌بندی می‌کنند. برای مثال شرکت Feroot که در حوزه‌ی امنیت سایبری فعال است، تزریق جاوااسکریپت را حمله‌ای سایبری می‌نامد که به افراد سودجو امکان می‌دهد وب‌سایت یا اپلیکیشن تحت وب را دست‌کاری و داده‌های حساس نظیر اطلاعات مالی یا اطلاعات شخصی قابل‌شناسایی را استخراج کنند.

هیچ مدرکی وجود ندارد که نشان دهد متا ازطریق کد جاوااسکریپت خود داده‌های حساس کاربر را استخراج کرده باشد. این شرکت در توضیحات سرویس متا پیکسل می‌گوید: «این ابزار به شما امکان می‌دهد که فعالیت بازدیدکنندگانتان را در وب‌سایت خود رهگیری کنید.» متا همچنین می‌گوید که این ابزار توانایی جمع‌آوری داده‌های مرتبط را دارد.

فعلاً مشخص نیست که فیسبوک از چه زمانی تزریق کد به وب‌سایت‌ها را شروع کرده است.

متا در سال‌های اخیر به‌صورت عمومی با اپل مجادله داشته و این موضوع بارها پرحاشیه شده است. اپل در سیستم‌عامل iOS 14.5 قابلیت امنیتی جدیدی اضافه کرد که به کاربران امکان می‌دهد جلوی رهگیری فعالیت‌های خود را بگیرند. پس از فعال شدن این قابلیت بسیاری از تبلیغ‌دهندگان فیسبوک گفتند که توانایی نمایش تبلیغات هدفمند ندارند. بررسی‌ها نشان می‌دهد سیستم امنیتی اپل صرفاً در سال گذشته‌ی میلادی ۱۰ میلیارد دلار به متا ضرر زده است.