9月23日消息,近日社交媒体平台Facebook用户起诉母公司meta有意绕过苹果的用户隐私保护机制,在未经用户同意的情况下继续通过应用内浏览器跟踪用户上网行为。但meta公司对此予以否认。
2021年苹果更新用户隐私保护规则,推出应用程序跟踪透明度机制(ATT),允许iOS用户自行选择是否退出第三方应用程序的跟踪。结果很多用户选择退出,以至于电子前沿基金会(Electronic Frontier Foundation)报告称,meta估计在2022年要损失100亿美元营收。
meta的商业模式主要依赖于向广告商出售用户数据,公司似乎在寻找新的途径继续广泛收集用户数据。上个月,隐私研究员、前谷歌工程师菲利克斯·克劳斯(Felix Krause)声称,meta试图挽回损失的一种方法是,引导用户将旗下Facebook和Instagram等应用程序中点击的所有链接转到应用内浏览器打开。克劳斯报告称,这样一来,meta能够在未经用户同意的情况下注入代码,修改外部网站,跟踪“用户所有的上网行为”,包括跟踪账户和密码。过去的一周内,Facebook和iOS用户先后提起两起集体诉讼,用克劳斯的研究结果起诉meta,指控meta隐瞒隐私风险,绕过iOS用户的隐私保护选择机制,拦截、监控和记录用户通过Facebook或Instagram浏览器访问所有第三方网站的活动。诉讼称,meta通过应用内浏览器建起秘密通道,可以访问“个人身份信息、私人健康细节、文本条目和其他敏感事实”,用户甚至不知道自己的数据被收集。
本周三,加利福尼亚的加布里埃尔·威利斯(Gabriele Willis)和路易斯安那州的凯瑞莎·戴维斯(Kerreisha Davis)向法院提起诉讼。此案代理律师阿达姆·波尔克(Adam Polk)称,meta之前就存在未经同意情况下收集用户信息的不当行为,并向法院列明,美国联邦贸易委员会(FTC)的调查导致meta被处以50亿美元的罚款。
波尔克表示:“只使用一个应用程序并不意味着应用程序公司可以在用户点击链接时偷窥。”“这场官司的目的是追究meta通过应用内跟踪秘密监控用户上网活动的责任。”
meta发言人表示:“这些指控毫无根据,我们将积极为自己辩护。我们的应用内浏览器经过仔细设计,在如何将数据用于广告等方面都尊重用户的隐私选择。”
私下跟踪用户数据
根据公开的诉讼文件,克劳斯的研究“揭示meta一直在向第三方网站注入代码,这种做法使meta能够跟踪用户并拦截原本无法获得的数据。”
为了调查潜在的隐私问题,克劳斯建立了一个名为inappbrowser.com的网站,用于“检测特定的应用内浏览器是否向第三方网站注入代码”。他将Telegram等应用程序与Facebook应用程序进行了比较。结果HTML文件的变化表明,当用户点击链接时,Telegram不会向第三方网站注入能通过应用内浏览器跟踪用户数据的Javascript代码,而Facebook应用程序则可以跟踪用户上网行为。
在Facebook和Instagram应用程序运行的测试中,克劳斯称,HTML文件清楚表明,“meta使用Javascript修改网站,并覆盖用户的默认隐私设置,将用户引导到Facebook应用内浏览器,而不是系统默认的Web浏览器。”
诉讼指出,这种注入代码的策略似乎被meta用来“窃听”用户,最初被行内称为Javascript注入攻击。诉讼将这种做法定义为“威胁行为者直接向客户端注入Javascript恶意代码”的实例,使得威胁行为者可以操纵网站或Web应用程序,并收集个人身份信息或支付信息等敏感数据。”
起诉书称,“meta现在正在使用这种代码工具,获得竞争优势,并保持拦截和跟踪iOS用户通信的能力。”
根据诉讼文件,当克劳斯向meta的漏洞赏金计划报告这一问题时,“meta承认存在跟踪Facebook用户的应用程序内浏览活动”。诉讼称,meta公司当时还确认,它将从应用内浏览器收集的数据用于投放定向广告。
没有提醒用户
相比之下,meta运营的WhatsApp并没有采用同样的策略。原告方表示,他们不认为meta注入代码可能是出于安全目的。他们还表示,meta的隐私工具Off-Facebook可以让用户查阅企业或网站如何收集个人数据,但这一功能的设置中并没有提到应用程序内的浏览器跟踪功能。
诉讼称,meta“没有理由”在“隐私工具Off-Facebook的监控”中遗漏这些信息,这么做“只是为了增加‘利润’,“超出本来可以获得的利润。”
诉讼称,meta目前的做法是故意向用户隐瞒事实。
起诉书称:“meta并未告知Facebook用户,从Facebook应用程序内部点击第三方网站的链接时将自动跳转到Facebook的应用内浏览器,而不是用户默认的Web浏览器,也没有告知meta会监控用户在相关网站上的活动和通信。”“因为没有任何东西提醒用户这些事实,他们不知道自己被跟踪;大多数人甚至没有意识到他们是通过Facebook的应用内浏览器访问第三方网站。”
克劳斯在分析报告中指出,即使选择拒绝跟踪行为的iOS用户也无法避免应用内浏览器的跟踪,而且没有办法选择退出。他建议meta公司更新Instagram和Facebook设置,使其运作更像WhatsApp,并且永远不要修改第三方网站。最合适的解决方案就是不要默认跳转到应用内浏览器,而是让用户点击链接时可以自行选择浏览器。
在克劳斯通过漏洞赏金计划向meta提交这一隐私问题后,meta表示,注入Javascript脚本的部分原因是为了实现安全功能,“有助于meta尊重iOS用户选择退出跟踪的系统机制”。克劳斯认为,“只有在被渲染网站安装了自定义跟踪器meta Pixel来跟踪用户上网活动时,这才有意义”,“如果Instagram能打开手机的默认浏览器,就没有必要这样做。”
最终meta关闭了克劳斯的报告,称meta插入代码是“有意的”,“与隐私无关”。
现在,Facebook用户依据克劳斯的漏洞报告向法院提起诉讼。原告要求法院“永久限制meta”继续进行他们所认为的Javascript注入攻击,因为这一做法能让meta“以与用户期望隐私设置不一致的方式”来“拦截用户的私人通信,跟踪用户在第三方网站上的上网活动”。
如果法院认定meta故意违反法律,公司将面临巨额罚款。
诉讼表明,自从meta开始将Javascript代码注入第三方网站以来,可能已经有数百万用户受到了影响。起诉书称,“所有通过Facebook应用内浏览器上访问第三方外部网站的活跃Facebook账户”都在此列,都有资格提出索赔。如果原告胜诉,所有被认为受到影响的用户都有权获得法定损害赔偿金,最高可达《窃听法》规定的“每天罚100美元到1万美元”,或者《加州侵犯隐私法》规定的“每次违法行为赔付5000美元”。
与此同时,诉讼称有一种简单方法可以阻止meta收集用户信息,那就是不要直接点击Facebook或Instagram中的链接,而是将链接复制粘贴到自己喜欢的浏览器中。