O Instagram e o Facebook estão usando seu navegador embutido para rastrear o que os usuários de iOS (iPhone e iPad) fazem em sites externos — desde dados de formulários, como senhas e cartões de crédito, até cada toque. Felix Krause, ex-engenheiro do Google e pesquisador de privacidade, detalhou em seu blog.
Os dois aplicativos têm se aproveitado o fato de que os links nestas redes sociais são direcionados automaticamente para páginas da web em um “navegador in-app“, controlado pelo próprio Facebook ou Instagram, em vez de serem abertos no navegador do celular (Chrome, Safari ou outro de sua preferência).
Desta forma, a Meta — empresa-mãe do Facebook e do Instagram — também consegue monitore tudo o que fazemos em sites externos, sem o consentimento do usuário nem do provedor do site.
“O aplicativo Instagram injeta seu código de rastreamento em todos os sites exibidos, inclusive ao clicar em anúncios, permitindo que eles monitorem todas as interações do usuário, como todos os botões e links tocados, seleções de texto, capturas de tela, bem como quaisquer entradas de formulário, como senhas, endereços e números de cartão de crédito”, diz Krause.
Vale ressaltar que, segundo pesquisador, nenhum código deste tipo foi adicionado ao navegador do WhatsApp.
Como burlar a transparência?
A Apple trabalha contra o rastreamento entre hosts desde o iOS 14.5, com o recurso de transparência App Tracking Transparency, que obriga os apps a solicitarem a permissão do usuário antes de rastrearem seus dados em applicativos terceiros, de outras empresas.
No entanto, parece que a Meta encontrou uma brecha para contornar essa regra, usando um código JavaScript personalizado nos navegadores dos apps. Segundo Krause, o arquivo externo que os aplicativos do Instagram e do Facebook injetam é o connect.facebook.net/en_US/pcm.js, que constrói uma ponte para se comunicar com o aplicativo host.
“O aplicativo Instagram injeta seu código de rastreamento em todos os sites exibidos, inclusive ao clicar em anúncios, permitindo que eles monitorem todas as interações do usuário, como todos os botões e links tocados, seleções de texto, capturas de tela, bem como quaisquer entradas de formulário, como senhas, endereços e números de cartão de crédito”, disse Krause.
Em um comunicado, a Meta justificou que esta injeção de código de rastreamento ajuda a agregar eventos — leia-se compras online — antes que sejam usados para publicidade direcionada e medição para a plataforma do Facebook.
“Desenvolvemos intencionalmente este código [Peça para rastrear] para honrar as escolhas das pessoas em nossas plataformas”, declarou um porta-voz ao The Guardian. “O código nos permite agregar dados do usuário antes de usá-los para publicidade direcionada ou fins de medição. Não adicionamos pixels. O código é injetado para que possamos agregar eventos de conversão de pixels.”
Como se proteger
Sempre que você tocar em um link no Instagram ou no Facebook, opte por abri-lo no navegador Safari, nativo dos iPhones e iPads. Ele, çpor apdrão, já bloqueia cookies de terceiros por padrão.
Ainda não há uma maneira de fazer isso automaticamente, é preciso redirecionar manualmente:
- Acesse o link diretamente na rede social;
- Toque nos três pontinhos no canto superior direito da página que for aberta;
- Escolha a opção “Abrir no navegador”; você será direcionado para seu app de internet padrão.