Facebook-gebruikers klagen Meta aan voor het omzeilen van krachtige Apple-beveiliging om miljoenen te bespioneren

Facebook-gebruikers klagen Meta aan voor het omzeilen van krachtige Apple-beveiliging om miljoenen te bespioneren

Nadat Apple in 2021 zijn privacyregels had geüpdatet om iOS-gebruikers gemakkelijk in staat te stellen zich af te melden voor alle tracking door apps van derden, kozen zoveel mensen ervoor dat de Electronic Frontier Foundation meldde dat Meta het volgende jaar $ 10 miljard aan inkomsten verloor.

Meta’s bedrijfsmodel is afhankelijk van de verkoop van gebruikersgegevens aan adverteerders, en het lijkt erop dat de eigenaar van Facebook en Instagram nieuwe wegen heeft gezocht om op grote schaal gegevens te blijven verzamelen en te herstellen van de plotseling verloren inkomsten. Vorige maand beweerde een privacyonderzoeker en voormalig Google-ingenieur, Felix Krause, dat een manier waarop Meta zijn verliezen wilde herstellen, was door elke link waarop een gebruiker klikt in de app te openen om in de browser te openen, waar Krause meldde dat Meta in staat was om een code, wijzig de externe websites en volg “alles wat u op een website doet”, inclusief het volgen van wachtwoorden, zonder toestemming van de gebruiker.

Nu, in de afgelopen week, twee class action-rechtszaken [1] [2] van drie Facebook- en iOS-gebruikers – die rechtstreeks verwijzen naar het onderzoek van Krause – klagen Meta aan namens alle getroffen iOS-gebruikers, waarbij Meta wordt beschuldigd van het verbergen van privacyrisico’s, het omzeilen van privacykeuzes van iOS-gebruikers en het onderscheppen, bewaken en vastleggen van alle activiteiten op derde- partijwebsites bekeken in de browser van Facebook of Instagram. Dit omvat formulierinvoer en schermafbeeldingen die Meta een geheime pijplijn geven via de in-app-browser om toegang te krijgen tot “persoonlijk identificeerbare informatie, persoonlijke gezondheidsgegevens, tekstinvoer en andere gevoelige vertrouwelijke feiten” – schijnbaar zonder dat gebruikers zelfs maar weten dat de gegevensverzameling plaatsvindt.

De meest recente klacht werd gisteren ingediend door Gabriele Willis uit Californië en Kerreisha Davis uit Louisiana. Een advocaat van hun juridische team bij Girard Sharp LLP, Adam Polk, vertelde Ars dat het een belangrijke zaak was om te voorkomen dat Meta wegkwam met het verbergen van voortdurende inbreuken op de privacy. In de klacht wees het juridische team op eerdere wandaden van Meta bij het verzamelen van gebruikersinformatie zonder toestemming, en merkte voor de rechtbank op dat een onderzoek van de Federal Trade Commission resulteerde in een boete van $ 5 miljard voor Meta.

“Alleen het gebruik van een app geeft het app-bedrijf geen licentie om over je schouder mee te kijken wanneer je op een link klikt”, vertelde Polk aan Ars. “Deze rechtszaak wil Meta verantwoordelijk houden voor het in het geheim volgen van de browse-activiteit van mensen via de in-app-tracking, zelfs als ze Meta dat niet hebben toegestaan.”

Meta reageerde niet meteen op het verzoek van Ars om commentaar. Krause vertelde Ars dat hij liever geen commentaar geeft.

Meta zou naar verluidt in het geheim gegevens volgen

Volgens de klachten, die op dezelfde feiten berusten, heeft Krause’s onderzoek “geopenbaard dat Meta code heeft geïnjecteerd in websites van derden, een praktijk waarmee Meta gebruikers kan volgen en gegevens kan onderscheppen die anders niet beschikbaar zouden zijn.”

Om het potentiële privacyprobleem te onderzoeken, heeft Krause een website gebouwd met de naam inappbrowser.com, waar gebruikers “kunnen detecteren of een bepaalde in-app-browser code injecteert in websites van derden”. Hij vergeleek een app als Telegram, die geen JavaScript-code injecteert in websites van derden om gebruikersgegevens bij te houden in de in-app-browser, met de Facebook-app door bij te houden wat er in het HTML-bestand gebeurt wanneer een gebruiker op een link klikt.

In het geval van tests die werden uitgevoerd op Facebook- en Instagram-apps, meldde Krause dat het HTML-bestand duidelijk aantoonde dat “Meta JavaScript gebruikt om websites te wijzigen en de standaard privacy-instellingen van de gebruikers te negeren door gebruikers naar de in-app-browser van Facebook te leiden in plaats van naar hun geprogrammeerde standaard webbrowser.”

De klachten merken op dat deze tactiek van het injecteren van code die schijnbaar door Meta werd gebruikt om gebruikers te “afluisteren” oorspronkelijk bekend stond als een JavaScript-injectieaanval. De rechtszaak definieert dat als gevallen waarin “een dreigingsactor kwaadaardige code rechtstreeks in het JavaScript van de client injecteert. Hierdoor kan de dreigingsactor de website of webtoepassing manipuleren en gevoelige gegevens verzamelen, zoals persoonlijk identificeerbare informatie (PII) of betalingsinformatie .”

“Meta gebruikt deze coderingstool nu om een ​​voordeel te behalen ten opzichte van zijn concurrenten en, met betrekking tot iOS-gebruikers, zijn vermogen te behouden om hun communicatie te onderscheppen en te volgen”, beweert de aanklacht.

Volgens de klachten “erkende Meta dat het de in-app-browse-activiteit van Facebook-gebruikers volgt” toen Krause het probleem rapporteerde aan zijn bug bounty-programma. Volgens de klachten heeft Meta destijds ook bevestigd dat het gegevens die zijn verzameld via in-app-browsing gebruikt voor gerichte advertenties.

Leave a Comment