中国日报网8月30日电 据英国媒体《卫报》报道,一位前谷歌工程师称,Facebook和Instagram的母公司Meta一直在对其网站进行重新编码,将代号为“Meta Pixel”的JavaScript代码注入所有链接和网站,跟踪点击其应用程序中链接的用户。
在Facebook和Instagram上,用户使用的是两款应用提供的“应用内浏览器”,而不是用户自己选择的Safari或火狐等网络浏览器。它们利用这一点,在所有链接和网站中注入JavaScript代码,监控所有用户交互和活动。
关注隐私安全问题的研究人员Felix Krause称,“Instagram将JavaScript跟踪代码注入到每一个展示的网站中,包括点击广告时出现的网页,监控所有用户的互动,例如点击的按钮和链接、文本选择、屏幕截图,以及包括密码、地址和信用卡号在内的所有表单输入。”
根据分析,通过该代码,Meta可以在未经用户同意的情况下监控所有用户交互和活动,甚至是敏感信息。
Meta在一份声明中表示,用户可以选择是否允许应用跟踪,注入跟踪代码符合这一用户偏好,且该代码仅用于汇总数据,为之后那些拒绝跟踪的用户投放定向广告或进行评估。
“我们开发跟踪代码,是为了尊重用户在我们平台上的‘要求跟踪’选择。通过这个代码,可以对用户的交互活动进行汇总。”
“对于通过应用内浏览器进行的购买,我们会征求用户意见,确定用户是否同意自动填写信息,以便为用户保存支付信息。”
Krause构建了一个可以列出浏览器添加到网站的所有外部命令的工具,从而发现了Meta注入的代码。这一工具检测不到普通浏览器和大多数应用程序的任何更改,但它在Facebook和Instagram上发现,这两个应用程序添加有多达18行代码,这些代码似乎能够扫描特定的跨平台跟踪工具包,如果未安装此类跟踪工具包,则利用“Meta Pixel”来跟踪用户,并建立准确的用户兴趣档案。
Meta并未向用户透露它是通过注入代码来重新编码网页。据Krause研究,WhatsApp的应用内浏览器中没有添加此类代码。
“注入JavaScript”——即在用户浏览网页之前向网页添加额外代码的做法——通常被视为是一种恶意攻击行为。网络安全公司Feroot认为,通过注入JavaScript代码,“威胁主体能够操控网站或Web应用程序,并收集敏感数据,如个人身份信息 (PII) 或支付信息。”
Meta是否通过注入JavaScript代码来收集此类敏感数据尚不清楚。Meta表示,“Meta Pixel”通常是自愿被添加到网站中的,从而向Instagram和Facebook上的用户投放广告。Meta称,“通过Meta Pixel,您可以跟踪您网站上访问者的活动”,并且可以收集相关数据。
Facebook在用户点击链接后何时开始注入代码来跟踪用户,目前尚不清楚。近年来,Facebook与苹果一直在公开对抗。苹果曾表示,开发者需征得用户许可才能在其他App和网站上跟踪用户。据Meta称,在苹果发表声明后,Facebook的许多广告商发现自己无法在社交网络上准确定位用户,导致这些广告商损失100亿美元的收入,公司股价在今年早些时候下跌26%。
(编译:武文洁 编辑:王旭泉)