Eğer Facebook ve Instagram’da gördüğünüz bir web sitesini ziyaret ederseniz, tercih ettiğiniz tarayıcıya değil, özel bir uygulama içi tarayıcıya yönlendirildiğinizi fark etmişsinizdir. Araştırmacı Felix Krause, bu tarayıcıların ziyaret edilen her web sitesine javascript kodunu enjekte ederek ana firma Meta’nın sizi web sitelerinde potansiyel olarak izlemesine izin verdiğini keşfetti.
Krause’ın bir blog yazısında söylediğine göre “Instagram uygulaması, reklamlara tıklandığında, dokunulan her düğme ve bağlantı gibi tüm kullanıcı etkileşimlerini, metin seçimlerini, ekran görüntülerini ve ayrıca şifreler, adresler ve kredi kartı numaraları gibi herhangi bir form girişini izlemelerini sağlamak dahil, izleme kodunu gösterilen her web sitesine enjekte ediyor.”
Krause’ın araştırması, Facebook ve Instagram’ın iOS sürümlerine odaklanıyordu. Apple’ın, kullanıcıların bir uygulamayı ilk açtıklarında iOS 14.5’te sunulan Uygulama İzleme Şeffaflığı (ATT) aracılığıyla uygulama izlemeyi etkinleştirmelerine veya uygulamadan çıkmalarına izin vermesi sebebiyle bu araştırma ayrı bir önem taşıyor. Meta daha önce bu özelliği “2022 çalışmalarımızda 10 milyar dolarlık ters bir rüzgar” olarak tanımlamıştı.
Meta, enjekte edilen izleme kodunun, kullanıcıların ATT’deki tercihlerine uyduğunu söyledi. The Guardian’a konuşan bir sözcü, “Kod, hedeflenen reklamcılık veya ölçüm amaçları için kullanmadan önce kullanıcı verilerini toplamamıza izin veriyor” dedi ve devam etti: “Herhangi bir piksel eklemiyoruz. Piksellerden dönüşüm olaylarını toplayabilmemiz için kod enjekte ediliyor. Uygulama içi tarayıcı aracılığıyla yapılan satın alma işlemleri için, otomatik doldurma amacıyla ödeme bilgilerini kaydetmek için kullanıcıdan onay istiyoruz.“
Krause, Facebook’un javascript enjeksiyonunu hassas verileri toplamak için kullanmadığını belirtti. Ancak, uygulamalar Safari veya Firefox gibi kullanıcıların tercih ettiği bir tarayıcıyı açtığında, herhangi bir güvenli siteye benzer bir javascript enjeksiyonu yapmanın bir yolu bulunmuyor. Buna karşılık, Instagram ve Facebook uygulama içi tarayıcıları tarafından kullanılan yaklaşım “şifreli olsun ya da olmasın herhangi bir web sitesi için çalışıyor” diyor.
Krause’nin araştırmasına göre WhatsApp, üçüncü taraf web sitelere benzer bir değişiklik yapmıyor. Bu nedenle, Meta’nın Facebook ve Instagram’da da aynı şeyi yapmasını veya bağlantıları açmak için Safari veya başka bir tarayıcı kullanmasını öneriyor: “Kullanıcı için en iyisi ve yapılması gereken doğru şey bu.“