Instagram und Facebook Meta-Konzern soll Nutzeraktivitäten verfolgen können
News folgenInstagram und Facebook bauen ungefragt Tracking-Code in geöffnete Webseiten ein, behauptet ein Entwickler. Der Meta-Konzern wehrt sich gegen die Anschuldigungen.
Der Meta-Konzern hat ein Sicherheitsproblem, will der österreichische Entwickler Felix Krause herausgefunden haben. Demnach schmuggele das Unternehmen ungefragt Tracking-Code in geöffnete Webseiten über den App-internen Browser bei Facebook und Instagram ein. Damit könne der Konzern Aktivitäten seiner Nutzer mit externen Webseiten verfolgen, schreibt Krause auf seinem Blog. Das Unternehmen dementiert. Es handele sich um Code zur App-Tracking-Transparenz.
Laut Krause füge Meta den Code in jede im In-App-Browser angezeigte Webseite unter iOS ein, auch wenn Nutzer auf Anzeigen innerhalb der Instagram- oder Facebook-App klicken. Dadurch sei es dem Konzern möglich, sämtliche Benutzerinteraktionen zu überwachen.
Dazu gehörten auch Formulareingaben wie Passwörter, Adressen und Kreditkartendaten, teilt Krause auf seinem Blog mit. Bei einer Milliarde aktiven Instagram-Nutzern sei die Datenmenge enorm, die das Unternehmen sammeln könne, schreibt er.
Webversionen der Netzwerke nutzen
Was können Nutzer tun? Krause rät, Webseiten bei Facebook und Instagram unter iOS nur über Safari statt über den App-internen Browser zu öffnen. Die meisten Apps bieten die Option "Links in externem Browser öffnen" an. Andernfalls könne auch die Webversion der beiden Netzwerke genutzt werden.
Krause hat Meta laut eigenen Angaben mit seinen Recherchen konfrontiert und eine Nachricht erhalten, dass das Unternehmen sein "Problem reproduzieren" konnte. In den darauf folgenden Wochen habe sich der Konzern nicht näher dazu geäußert. Darum habe er sich dazu entschlossen, seine Informationen öffentlich zu machen, schreibt Krause.
Nachtrag vom 12. August, 09:00 Uhr
Mittlerweile hat sich der Facebook-Konzern Meta zu den Anschuldigungen des Entwicklers geäußert. "Diese Behauptungen sind falsch und stellen die Funktionsweise von Metas In-App-Browser und Pixel falsch dar.", sagte eine Unternehmenssprecherin. Man habe den Code entwickelt, um die Entscheidungen der Nutzer zur App-Tracking-Transparenz (ATT) zu respektieren.
Der Code ermögliche es Meta, Benutzerdaten zu "aggregieren", bevor er sie für gezielte Werbe- oder Analysezwecke verwende, heißt es weiter. Man füge keine Pixel hinzu. Der Code werden nur eingefügt, damit es möglich sei, Conversion-Ereignisse von Pixeln aggregieren können.
ATT ist eine Funktion in iOS, mit denen Apps die um Erlaubnis ihrer Nutzer einholen müssen, damit sie ihre Aktivitäten verfolgen können. In den iOS-Einstellungen unter dem Menüpunkt "Datenschutz" und "Tracking" können Nutzer das Verfolgen in den Apps aktivieren. Standardmäßig ist es in Apples mobilem Betriebssystem ausgeschaltet.
Für Entwickler Krause ändert sich nichts. In einem Tweet schreibt er, sein Artikel ist weiter richtig, auch wenn es kein Meta-Pixel sei, das injiziert werde, sondern ein Skript namens "pcm.js". Es bleibe dabei, so Krause, "die iOS-App von Instagram injiziert aktiv JavaScript-Code in alle Websites von Drittanbietern, die über ihren In-App-Browser aufgerufen werden". Und damit könne Meta das Nutzerverhalten verfolgen und Daten abgreifen.
