搭配 Facebook 與 IG 內建瀏覽器,Meta 藉網站植入程式碼追蹤使用者行為

作者 | 發布日期 2022 年 08 月 16 日 13:41 | 分類 Facebook , 網路 , 資訊安全 Telegram share ! follow us in feedly


科技公司用各種追蹤工具蒐集使用者資料行之有年,儘管蘋果與 Google 相繼宣布手機作業系統及瀏覽器,推出讓使用者選擇是否願意被第三方追蹤的新隱私權功能,但科技公司莫不想方設法另尋繼續蒐集使用者資料的手法。隱私權研究人員 10 日揭露,Meta 一直改寫使用者瀏覽的網站,使用者點擊 Facebook 或 Instagram App 連結後,透過植入追蹤程式碼蒐集使用者的互動資料。

雖然不確定 Meta 什麼時候開始透過植入程式碼追蹤使用者,但可能是受去年和蘋果的隱私權大戰刺激。蘋果 iOS 14 新增 App 追蹤透明度(App Tracking Transparency,ATT)政策,要求 App 安裝時必須取得使用者同意才能追蹤,同時 App 開發人員必須取得許可才能在不同 App 間追蹤使用者。之後許多 Meta 廣告商抱怨無法在社群網路鎖定使用者打廣告,最終導致損失 100 億美元收入,今年稍早股價還下跌 26%。

跨平台追蹤工具與 Meta Pixel 雙管齊下

Meta 似乎找到避開蘋果 ATT 政策的最佳解決之道,即 Facebook 和 Instagram 大力運用的「App 內建瀏覽器」(In-App Browser)技術,遂行蒐集使用者資料目的,使用者只要點網站連結,會直接跳過使用者預設瀏覽器(如 Firefobx 或 Safari),用 Facebook 和 Instagram 掌控的瀏覽器開啟頁面。

App 開發工具 Fastlane(2017 年 Google 收購)創辦人 Felix Krause 在「iOS 隱私權」部落格指出,Instagram App 會將專屬追蹤碼植入每個經自家專屬瀏覽器開啟的網頁,並監控所有使用者的互動行為,包括擊鍵、點擊連結、文字選取、螢幕擷圖,甚至任何涉及密碼、地址及信用卡號的表格輸入。

Krause 發現,追蹤碼植入機制會先透過某工具建立,列出專屬瀏覽器新增到某網站的所有額外指令。對一般瀏覽器和大多數 App,工具偵測不到任何變動。但對 Facebook 及 Instagram,工具發現新增 18 行程式碼。這些程式碼會掃描特定跨平台追蹤工具,即使發現工具沒安裝,也會另行呼叫 Meta Pixel 追蹤工具。Meta Pixel 能追蹤使用者行動,並建立精準的使用者興趣檔案。

Meta 追蹤碼並非 Javascript Injection,會根據使用者意願及偏好行事

Meta 聲明,追蹤碼植入機制會根據使用者是否允許 App 追蹤喜好而定,且追蹤碼一開始只是匯總資料,後用於目標式廣告,或評估不同意追蹤的使用者。Meta 補充,App 內建瀏覽器購買會於使用者同意後才儲存自動填寫的支付資訊。

看到 Meta 追蹤碼植入機制,不免讓人想到網路常見的 XSS(Cross-site Scripting)跨站攻擊,俗稱「Javascript Injection」(JS 植入),是網頁秀給使用者之前就植入額外程式碼的攻擊。駭客經常透過這種攻擊蒐集 PII 個人辨識資訊或支付資訊等敏感資料。

不過並沒有任何跡象顯示,Meta 有用 Javascript Injection 蒐集使用者資訊。根據 Meta 說法,Meta Pixel 通常是使用者自願新增到網路,協助企業在 Instagram 及 Facebook 精準投放廣告。追蹤工具可讓企業追蹤訪客在官網的各樣活動,並蒐集相關資料。除此之外,WhatsApp 內建瀏覽器並沒有發現新增追蹤碼的跡象。

(首圖來源:Meta