科技公司通过各种关注工具来搜集用户资料已经行之久年,尽管苹果与Google相继宣布在自己手机操作系统及浏览器中,推出可让用户自己选择是否愿意被第三方关注的新隐私权功能,但科技公司莫不想方设法另寻可以继续搜集用户资料的新手法。一名隐私权研究人员在周三披露,Meta一直在改写用户拜访的网站,进而在用户点击Facebook或Instagram App中的连接之后,可以通过所植入的关注程序代码搜集用户在整个网站上的互动行为资料。
虽然我们不确定Meta是从什么时候开始通过植入的程序代码关注用户行为,但很可能是受到去年和苹果之间的隐私权大战的刺激所致。去年苹果在iOS 14中添加App关注透明度(App Tracking Transparency,ATT)政策中,要求App在初始安装时必须获得用户同意才能执行关注,同时App开发人员必须获得许可才能在不同App之间关注用户。在此之后,许多Meta广告商抱怨无法在社群网络上锁定用户打广告,最终导致该公司损失100亿美元的收入,今年稍早之际其股价下跌了26%。
跨平台关注工具与Meta Pixel双管齐下
如今,Meta似乎找到了规避苹果ATT政策的最佳解决之道,也即Facebook和Instagram开始大力运用所谓的“App内置浏览器”(In-App Browser)技术来实行其搜集用户资料的目的,用户只要点取网站连接,会直接跳过用户默认的浏览器(例如Firefobx或Safari),而通过Facebook和Instagram所管控的浏览器来打开页面。
App开发工具Fastlane(2017年被Google收购)创办人Felix Krause在自己的“iOS隐私权”博客上指出,Instagram App会将专属关注码植入到每个被自家专属浏览器打开的网页上,并开始监控所有用户的互动行为,包括击键、点击连接、文本选取、屏幕截图,甚至任何涉及密码、地址及信用卡号的表格输入。
Krause进一步发现,整个关注码的植入机制会先通过某工具的创建,来列出专属浏览器添加到某网站上的所有额外指令。对于一般浏览器和大多数App,该工具侦测不到任何变动。但对于Facebook及Instagram,该工具从中发现添加18行程序代码。这些程序代码会扫描特定跨平台关注工具,即使发现该工具没被安装,也会另行调用Meta Pixel关注工具。Meta Pixel能让该公司在网上关注用户,并创建精准的用户兴趣档。
Meta关注码并非Javascript Injection,会根据用户意愿及偏好行事
Meta在一份声明中回应表示,该公司关注码植入机制会根据用户是否允许App关注他们的偏好而定,而且关注码一开始只用于汇总资料,然后才会用于目标式广告,或对选择不同意关注的用户进行评估之用。Meta补充指出,对于经由App内置浏览器所进行的购买,该公司会寻求用户同意,以保存用于自动填写的支付资讯。
看到Meta关注码植入机制,不免让人联想到当前网络上常见的XSS(Cross-site Scripting)跨站攻击,该攻击俗称“Javascript Injection”(JS植入),是一种网页秀给用户之前,在网页上植入额外程序代码的攻击实例。黑客经常会通过这样的攻击搜集PII个人识别资讯或支付资讯等敏感资料。
不过,当前并没有任何迹象显示,Meta有使用Javascript Injection来搜集用户资讯。根据Meta的说法,Meta Pixel通常是用户自愿性地添加到网络上,以协助企业得以在Instagram及Facebook上向用户投放广告。该关注工具可以让企业关注访客在你网站上的活动状况,并搜集相关资料。除此之外,目前在WhatsApp的内置浏览器中并没有发现有添加关注码的迹象。
(首图来源:Meta)