In-App-Browser von Facebook und Instagram manipuliert Webseiten
Wenn man iOS-Nutzer*in ist und Links in den Apps von Instagram oder Facebook im eingebauten In-App-Browser öffnet, wird man umfassend überwacht. Das fand Felix Krause heraus, ein ehemaliger Google-Techniker. Auf seinem Blog schildert er, wie der In-App-Browser der Facebook- und Instagram-Apps eigenen Code in besuchten Webseiten injiziert. Dieser Code kann jegliche Interaktion zwischen Nutzer*in und Webseite verfolgen. Jeder Klick wird registriert und jede Texteingabe verfolgt, auch wenn es sich dabei um Passwörter oder Kreditkarteninformationen handelt. Dass man dabei möglicherweise eine verschlüsselte https-Webseite besucht, bewahrt nicht vor dem Tracking.
Facebook geht es nur um Werbung
Wie der Standard berichtet, behauptet Facebook, das Tracking auf Webseiten geschehe lediglich, um Daten über Nutzer*innen zu sammeln und davon ausgehend personalisierte Werbung auszuspielen. Informationen wie Kreditkartendaten würden nur mit vorhergehender Zustimmung von Nutzer*innen gespeichert, um sie per Auto-Fill beim nächsten Mal schneller einfügen zu können.
Normalerweise ist das ein Angriff
Darauf, dass Webseiten mit eigenem Code versehen werden, weist Facebook seine Nutzer*innen allerdings nicht hin. "Javascript Injection", wie sich die Technik nennt, wird üblicherweise als Form von bösartigem Cyberangriff klassifiziert. So gut wie alle normalen Browser verhindern das, etwa in Form von Drittparteien-Cookies. Mit dem eigenen Browser ist es den Apps des Meta-Konzerns dennoch möglich. Wie Krause herausgefunden hat, ist WhatsApp eine Ausnahme. Der ebenfalls zum Meta-Konzern gehörende Dienst öffnet Links im Default-Browser, in iOS also Safari, daher gibt es dort keine Javascript Injection.
Wie man sich gegen das Tracking wehrt
Links nicht mit dem eingebauten Browser in den Facebook- und Instagram-Apps zu öffnen, sondern stattdessen mit einem anderen Browser, ist auch die Lösung, um dem Tracking durch Meta zu entrinnen. Eine weitere Lösung wäre laut Krause freilich, gar nicht die Apps zu verwenden, sondern stattdessen die mobilen Webseiten von Facebook und Instagram. Webseiten-Betreiber können ihrerseits die Javascript Injection verhindern, indem sie einen kleinen Code hinzufügen. Er täuscht die Facebook- und Instagram-App indem er vorgibt, dass deren Tracking-Tools bereits installiert sind.