شرکت متا در روز چهارشنبه هفته جاری به ردیابی و جمعاوری اطلاعات نامشخصی در برنامههای فیسبوک و اینستاگرام خود در گوشیهای آیفون اپل، متهم شد.
این دعوای حقوقی که در یک دادگاه منطقهای فدرال ایالات متحده آمریکا تنظیم شده است، ادعا میکند که این دو برنامه از مرورگر داخلی خود به نام WKWebView استفاده میکنند تا کد جاوا اسکریپت مورد نظر خود را برای جمعآوری یکسری از دادهها فعال کنند. اگر کاربران بااستفادهاز مرورگر دیگری اقدامبه باز کردن لینکهایی که دراختیارشان قرار گرفته کنند، این کد جاوا اسکریپت فعال نخواهد شد.
تمام این ادعاهای مطرح شده براساس تحقیقات یکی از فعالین در حوزه امنیت سایبری با نام Felix Krause مطرح شده است. او در ماه گذشته تحلیلی را منتشر کرد و نشان داد که مرورگرهای WKWebView قرار گرفته در برنامههای بومی یا همان Native آنها میتوانند برای ردیابی افراد و نقض حریم خصوصی آنها مورد استفاده قرار گیرند. در این شکایت آمده است:
زمانی که کاربران روی لینکی در برنامه فیسبوک میزنند، متا بهصورتی خودکار آنها را بهجای مرورگر پیشفرض گوشیهای هوشمند، به مرورگر درون برنامهای که تحت نظر آنها است، هدایت میکند. آنها در این فرایند، به کاربران خود اعلام نمیکنند که چه اتفاقی میافتد و آیا ردیابی میشوند یا خیر. اطلاعات کاربرانی که توسط متا رهگیری میشوند، تحت نظارت قرار میگیرند و ضبط خواهد شد که از مهمترین آنها میتوان به اطلاعات شخصی قابل شناسایی، جزئیات خصوصی مربوط به سلامت، ورودیهای متنی و سایر اطلاعات محرمانه و حساس اشاره کرد.
شرکت متا در ماه گذشته و بعد از انتشار گزارش Felix Krause، اعلام کرد که این تزریق کد برای احترامبه انتخابهای مربوطبه حریم خصوصی کاربرانش انجام شده است. یکی از سخنگویان متا در ماه گذشته به رسانه The Register گفت:
ما عمدا این کد را برای احترامبه انتخابهای مربوطبه شفافیت ردیابی برنامهها (App Tracking Transparency) توسط مردم در پلتفرمهای خود، ایجاد کردهایم. این کد به ما اجازه میدهد تا دادهها را قبل از استفاده برای اهداف تبلیغاتی یا اندازهگیری هدفمند جمعآوری کنیم.
اندی استون، مدیر ارتباطات متا، هم بیانیه مشابهی را از طریق توییتر منتشر کرد. این شکایت ادعا میکند که ردیابیهای نامعلومی که توسط متا انجام میشود، قانونهای مختلفی مانند استراق سمع، قانون تجاوزبه حریم خصوصی کالیفرنیا و قانون رقابتی ایالتی را نقض میکنند. در واقع، متا قصد دارد تا از این اطلاعات گفته شده برای افزایش سود و کسب برتری درمقایسهبا رقبا استفاده کند.
این شکایت با اشاره به معرفی قابلیت App Tracking Transparency در iOS 14.5 در سال 2021، میگوید:
تزریق کد جاوا اسکریپت توسط شرکت متا، همزمان به بهروزرسانیهای اخیر مربوطبه حریم خصوصی برای آیفونها و سایر دستگاههای iOS انجام شده است.
این شکایت قانونی انجام شده به ما چگونگی ایجاد کمپینی تبلیغاتی علیه App Tracking Transparency را نشان میدهد که شرکت متا قصد داشت تا بااستفادهاز آن بگوید که این رویکرد جدید شرکت اپل میتواند کسبوکارهای کوچک متکیبه تبلیغات مبتنبر دادههای تجارت تبلیغات اجتماعی را نابود کند. این شرکت معتقد است که از قوانین App Tracking Transparency اپل پیروی میکند و Felix Krause هم این موضوع را تایید خواهد کرد.
البته، باید به این موضوع هم توجه کنیم که استفاده متا از مرورگرهای درونبرنامهای رد داخل برنامههای مخصوص گوشیهای هوشمند خود از پیش از توسعه App Tracking Transparency توسط اپل وجود داشت. شرکت اپل در کنفرانس جهانی مخصوص توسعهدهندگان خود در سال 2014، WKWebView را بهعنوان جایگزینی برای فریمورکهای قدیمی UIWebView یا UIKit و WebView یا AppKit معرفی کرد که همگی در iOS 8 وجود داشتند.
در WWDC 2015 بود که شرکت اپل از نهمین نسخه از سیستمعامل مخصوص گوشیهای هوشمند خودش رونمایی و SFSafariViewController را معرفی کرد. اکنون، شرکت اپل این قابلیت را بهعنوان چیزی برای نمایش دادههای مربوطبه یک وبسایت در برنامههای مختلف توصیه میکند. مرورگرهای درونبرنامهای، همیشه یکی از اصلیترین نگرانیهای شرکتهای مختلف بوده است.
توماس اشتاینر، مهندس مربوط به روابطبا توسعهدهندگان شرکت گوگل، در یک پستوبلاگی که سه سال قبل منتشر شد، درمورد این موضوع میگوید:
علاوهبر ویژگیهای محدودی که WebViews دارد، این فریمورک همچنین میتواند برای انجام حملات هدفمند توسط هکرها مورد سواستفاده قرار گیرد؛ چراکه توسعهدهندگان مرورگرهای درون برنامهای این توانایی را دارند که بهصورتی خودسرانه، کدهای جاوا اسکریپت را تزریق و ترافیک شبکه را رهگیری کنند.
اشتاینر در پست خود تاکید میکند که هیچ چیز غیرعادی مانند عملکرد phoning home ندیده است. Felix Krause هم سیاست مشابهی را اتخاذ و تنها به احتمال سواستفاده اشاره کرده است. او در یک پست وبلاگی که بعدا منتشر کرده بود، کدهای مربوطبه جمعآوری اطلاعات اضافی را بهنمایش گذاشت. او در این پست نوشت:
نسخه iOS پلتفرم اینستاگرام، هر ضربهای را که روی دکمه، لینک، تصویر یا سایر مولفههای استفاده شده در وبسایتهای خارجی که در داخل این برنامه باز کردهاید را شناسایی میکند. همچنین، هر بار که کاربر یک عنصر مربوط به رابط کاربری، مانند یک فیلد متنی، را انتخاب میکند، آنها متوجه میشوند و دادههای او را را جمعآوری مینمایند.
این کلمه جمعآوری به آن معنا است که دادههای تجزیهوتحلیل موجود در این برنامه قابل دسترسی هستند و درمورد آنچه که با اطلاعات جمعآوری شده انجام میشود را به ما اطلاع نمیدهد. Felix Krause همچنین میگوید که از سال 2020، شرکت اپل برای آنکه بتواند محیط وب را از اسکریپتها جدا کند، فریمورکی بهنام WKContentWorld را معرفی کرد. او همچنین گفت توسعهدهندگانی که از یک مرورگر درونبرنامهای استفاده میکنند، میتوانند WKContentWorld را در برنامه خود قرار دهند تا اسکریپتها را از خارج از این برنامه، غیرقابل شناسایی کنند.