Um engenheiro do Google descobriu que a Meta, dona do Facebook e Instagram, está reescrevendo sites que seus usuários visitam a partir de um código javascript, para que a empresa possa rastreá-los na web. As informações são do The Guardian

Isso acontece quando, dentro dos aplicativos das redes sociais, a pessoa clica em um link e é redirecionada para um navegador personalizado, que fica “dentro do aplicativo”, e não para o navegador, de escolha do usuário, como Safari ou Chrome. 

Meta e Amazon oferecem cursos de tecnologia de graça; confira como se inscrever

“O aplicativo do Instagram injeta seu código de rastreamento em todos os sites mostrados, inclusive ao clicar em anúncios, permitindo que eles [Meta] monitorem todas as interações do usuário, como cada botão e link grampeado, seleções de texto, capturas de tela”, aponta Felix Krause, pesquisador de privacidade – que fundou uma ferramenta de desenvolvimento de aplicativos adquirida pelo Google em 2017 – em entrevista ao The Guardian. 

O mesmo também vale para o Facebook. Krause ainda diz que as respostas dadas pelos usuários em formulários, como senhas, endereços e números de cartão de crédito, também são rastreadas pela Meta.

A pesquisa feita pelo estudioso envolveu apenas as conexões feitas a partir de aparelhos iOS no Facebook e Instagram. Isso porque a Apple oferece aos usuários a possibilidade de “entrar” e “sair” do rastreamento de plataformas quando entram em um aplicativo pela primeira vez por meio do App Tracking Transparency (ATT).

A Meta concorda com essa informação, e afirma que injeta o código de rastreamento apenas aos usuários que permitem essa função pelo ATT. “O código nos permite agregar dados do usuário antes de usá-los para fins de publicidade ou medição direcionados”, afirmou a empresa em um comunicado.

“Para compras feitas através do navegador no aplicativo, buscamos o consentimento do usuário para salvar informações de pagamento para fins de preenchimento automático”, acrescenta.

A “injeção de javascript”, que é a prática de adicionar código extra a uma página da web antes de ser exibida a um usuário, pode ser classificada como um tipo de ataque malicioso. No entanto, não há nenhuma sugestão de que a Meta tenha usado sua a injeção javascript para coletar dados tão sensíveis.