Ogni volta che un utente clicca un collegamento all’interno dell’app di Facebook o quella di Instagram, Meta è in grado di tracciare e monitorare tutte le sue interazioni, che sia un testo selezionato o digitato, comprese password e dettagli privati della carta di credito che vengono riportati nei relativi box all’interno delle pagine web su cui si sta navigando.
E’ l’inquietante risultato di un’analisi condotta da Felix Krause che vede nell’utilizzo del browser proprietario all’interno delle app in questione – anziché quello offerto da Apple – il grimaldello perfetto per l’accesso ai dati degli utenti. Infatti la maggior parte delle applicazioni usano Safari per caricare i siti web, invece Instagram e Facebook usano un browser personalizzato dall’azienda.
Anche se si basa su WebKit di Apple, questo browser di Meta è in grado di iniettare un codice JavaScript chiamato Meta Pixel per il tracciamento in tutti i link e i siti web mostrati all’interno delle sue app. Con quel codice la società ha di fatto la totale libertà di tracciare le interazioni degli utenti – spiega – senza il loro esplicito consenso.
Questo consente a Instagram (e Facebook, ndr) di monitorare tutto quello che succede sui siti web esterni e senza il consenso dell’utente, né del provider del sito. L’app inetta il proprio codice di monitoraggio in ogni sito mostrato, anche quando si cliccano gli annunci, e questo fa sì che sia possibile conoscere tutte le interazioni degli utenti come ogni pulsante o collegamento cliccato, il testo selezionato, l’acquisizione di schermate e la compilazione di password, indirizzi e numeri di carte di credito.
Come fa giustamente notare Krause, sviluppare e mantenere un proprio browser web in-app richiede uno sforzo notevole in termini di tempo e risorse anche per aziende come Meta. Sul portale per gli sviluppatori l’azienda spiega che Meta Pixel, usato sia nell’app Facebook che in quella di Instagram, è progettato per «tracciare l’attività dei visitatori sul suo sito web», ma al momento non ci sono prove che abbia effettivamente raccolto i dati degli utenti.
Non sto dicendo che Facebook rubi davvero le password, gli indirizzi e i numeri delle carte di credito. Voglio solo far sapere alle persone quali dati può prendere a loro insaputa. La storia ci ha già dimostrato che se un’azienda può accedere gratuitamente a un dato di un utente senza avvisarlo, non si fa certo scrupoli.
Tuttavia questa pratica viola le politiche di trasparenza sul tracciamento delle app distribuite tramite App Store: Apple infatti vuole che le app chiedano il consenso all’utente prima di tracciarlo, ma al momento queste linee guida si basano soltanto sull’onestà degli sviluppatori, una scelta che ha già sollevato diverse critiche.
Per altro Meta ha già attaccato pubblicamente Apple per questo cambiamento nelle sue politiche sulla privacy, pubblicando persino un annuncio a tutta pagina sui giornali americani. Krause dice che ha parlato di queste sue scoperte con Meta e che quest’ultima si è limitata a confermargli l’esistenza del “problema”, senza più rispondere alle altre domande. Così, trascorso il preavviso di due settimane, ha deciso di rendere pubblici i risultati di questa sua ricerca.
Ad aprile un portavoce di Apple fece comunque sapere che «se Apple dovesse scoprire che uno sviluppatore non sta onorando la scelta dell’utente, a quel punto lavorerà con lo sviluppatore per risolvere il problema o, in caso contrario, sarà sua premura rimuoverlo dall’App Store», quindi adesso che la notizia è pubblica è lecito aspettarsi sviluppi al riguardo.
Per tutte le notizie dedicate a Facebook e anche al social fotografico Instagram si parte dai rispettivi collegamenti.
