Aggiornamento del 19/08/2022 alle ore 10:02 - Meta ci ha contattato in seguito alla pubblicazione dell'articolo originale che potete trovare più in basso e ci ha fornito la seguente dichiarazione:"I web browser in-app sono d'uso comune nel settore. Noi di Meta usiamo i browser in-app per garantire esperienze sicure, semplici e affidabili, ad esempio per assicurarci che il completamento automatico venga eseguito correttamente o per evitare che le persone vengano reindirizzate a siti pericolosi. L'aggiunta di questo tipo di funzionalità richiede del codice aggiuntivo. Abbiamo progettato con cura queste esperienze per rispettare le scelte degli utenti in materia di privacy, compreso il modo in cui i dati possono essere utilizzati per gli annunci pubblicitari"
Il browser in-app delle applicazioni Meta, più nello specifico di Instagram, Facebook e Messenger, nasconderebbe al proprio interno un codice che permette il tracciamento dei dati e delle interazioni dell'utente, bypassando in apparenza le regole di App Tracking Transparency di iOS.
Questo è quanto emerge dalle ricerche condotte nelle ultime settimane dall'ex ingegnere Google Felix Krause, riportate per esteso in un blog post dedicato e aggiornate nel corso degli ultimi giorni in seguito alle dichiarazioni di Meta:
"L'app di Instagram inietta il proprio codice di tracciamento in ogni sito web visualizzato, anche quando si fa clic sugli annunci, riuscendo così a monitorare tutte le interazioni degli utenti, come ogni pulsante e link toccato, le selezioni di testo, gli screenshot, nonché qualsiasi inserimento di moduli, come password, indirizzi e numeri di carta di credito".
Le implicazioni di questa scoperta a livello sia tecnico che legale sono molteplici: cerchiamo di fare chiarezza.
Tracking Meta su iOS: perché è un problema?
Grazie all'utilizzo di un tool proprietario Krause ha scoperto l'esistenza di alcune righe di codice Javascript aggiuntivo nel browser in-app delle piattaforme Meta (connect.facebook.net/en_US/pcm.js), che "aiuta ad aggregare gli eventi, ad esempio l'acquisto online, prima dell'utilizzo di questi eventi per la pubblicità mirata e la misurazione sulla piattaforma Facebook".
Come specificato dalla dichiarazione di un portavoce di Meta alla testata The Guardian, Krause aveva inizialmente confuso questo codice di aggregazione con il Meta Pixel, un pixel di profilazione ai fini di marketing a tutti gli effetti.
In ogni caso, questa scoperta si colloca in uno scenario in cui gran parte dei "big" della tecnologia si sta preparando sempre di più all'uscita di scena dei dati di terze parti. Mentre Google dirà addio ai cookie nel 2023, Apple ha preso misure ancora più drastiche, bloccandone in automatico l'utilizzo su Safari.
Ancora più importante in questo frangente è però l'App Tracking Transparency, un protocollo introdotto a partire da iOS 14.5 in base a cui gli utenti finali acquisiscono controllo sulla condivisione dei loro dati, con la possibilità di bloccare del tutto il tracciamento da parte delle app di terzi.
Era stata proprio Meta a opporsi con fermezza all'entrata in vigore dell'App Tracking Transparency. La mossa di Apple è infatti costata alla compagnia di Mark Zuckerberg ben 10 miliardi di dollari nel bilancio dell'ultimo anno, persi insieme alla possibilità di tracciare e aggregare i dati ottenuti dalle attività di miliardi di utenti.
Apple ha inoltre escluso i browser dalle norme più stringenti di App Tracking Transparency, invitando tuttavia caldamente gli sviluppatori a preferire l'utilizzo di Safari per l'apertura dei link in-app.
"L'uso di una vista Web per consentire alle persone di accedere brevemente a un sito Web senza uscire dal contesto dell'applicazione è consentita, ma Safari è il modo principale in cui le persone navigano sul Web. Il tentativo di replicare le funzionalità di Safari nella vostra applicazione non è necessario ed è sconsigliato".
Dal momento che non si tratta di un obbligo stringente, Meta ha sviluppato e implementato all'interno delle app iOS di Facebook, Instagram e Messenger (ma non WhatsApp) un browser proprietario in-app, non disattivabile, che inietta il codice Javascript descritto sopra anche sui siti di terze parti.
Anche se, al contrario di quanto ipotizzato inizialmente da Krause, il codice di aggregazione in questione rientra tecnicamente nei termini stabiliti dalla App Tracking Transparency di iOS, l'autore del post sottolinea i potenziali rischi per la privacy e la sicurezza dell'utente.
Un'ipotetica manomissione del browser in-app di Meta, infatti, esporrebbe facilmente agli attacchi i dati di tracciamento raccolti e salvati nel browser, tra cui credenziali degli utenti, password, carte di credito e contenuto della clipboard.
Utenti iOS: come proteggersi?
La presenza di un codice di tracciamento nei browser in-app iOS di Facebook, Instagram e Messenger può facilmente indurre in allarme gli utenti. Alla luce di quanto esposto sopra, occorre dunque specificare che:
- Facebook e Instagram non possono tracciare tutte le attività online dell'utente, bensì solo quelle svolte all'interno del browser in-app, dal momento in cui si clicca su un link o una pubblicità nelle rispettive app;
- Questa vulnerabilità potrebbe esporre gli utenti al rischio di furto dei dati personali in caso di eventuali attacchi informatici.
Tuttavia, come le linee guida Apple fanno giustamente notare, è preferibile sotto molti fronti, compreso quello della privacy, utilizzare il browser proprietario per aprire i link in-app.
Potete uscire dalla preview in-app di Instagram, Facebook e Messenger grazie all'opzione Apri in browser, oppure copiando e incollando il link di riferimento e proseguendo la navigazione su Safari.