Instagram en Facebook tracken gebruikers via de in-app browser van die apps. Dat claimt een ontwikkelaar. Volgens hem injecteren de in-app browsers Javascript in elke pagina, ook als die pagina's versleuteld zijn.
De ontwikkelaar, Felix Krause, bouwde een tooltje om de Javascript te detecteren in de in-app browsers. Volgens hem gebeurt het injecteren in de iOS- en Android-apps van Instagram, Facebook en Messenger. Het gebeurt niet in WhatsApp, de in Nederland en België meest gebruikte app van moederbedrijf Meta. Die app heeft geen in-app browser.
De in-app browsers checken eerst op de aanwezigheid van een tracking-sdk van advertentieorganisatie IAB en als die niet op de pagina aanwezig is, dan injecteert de browser de Meta Pixel. Die stuurt vervolgens versleuteld data door naar het bedrijf. Welke data dat is, kan Krause niet zien. De sdk kan onder meer bijhouden welke tekst gebruikers selecteren, hoe ze scrollen en welke advertenties ze zien.
Gebruikers kunnen zichzelf beschermen door na het openen van een link in de in-app browser gelijk op de optie te klikken om de link te openen in een reguliere browser, zoals Firefox of Brave of standaardbrowsers Safari op iOS en Chome op Android.
Krause heeft de injectie van de code als bug aangegeven in het Bug Bounty-programma van het bedrijf en kreeg naar eigen zeggen binnen een paar uur de bevestiging dat het bedrijf het gedrag kon reproduceren. Daarna heeft Meta niets meer van zich laten horen. Meta heeft niet gereageerd op de aantijging.
Het gedrag past wel in de wens van Meta om gebruikers van apps te tracken. Die tracking levert data op voor gepersonaliseerde advertenties, een grote inkomstenbron voor het bedrijf. Sinds iOS een pop-up toont om tracking toe te staan, heeft het bedrijf omzet verloren.