搭配Facebook與IG內(nèi)置瀏覽器，Meta通過網(wǎng)站植入程序代碼來關(guān)注用戶行為

科技公司通過各種關(guān)注工具來搜集用戶資料已經(jīng)行之久年，盡管蘋果與Google相繼宣布在自己手機(jī)操作系統(tǒng)及瀏覽器中，推出可讓用戶自己選擇是否愿意被第三方關(guān)注的新隱私權(quán)功能，但科技公司莫不想方設(shè)法另尋可以繼續(xù)搜集用戶資料的新手法。一名隱私權(quán)研究人員在周三披露，Meta一直在改寫用戶拜訪的網(wǎng)站，進(jìn)而在用戶點(diǎn)擊Facebook或Instagram App中的連接之后，可以通過所植入的關(guān)注程序代碼搜集用戶在整個(gè)網(wǎng)站上的互動(dòng)行為資料。

雖然我們不確定Meta是從什么時(shí)候開始通過植入的程序代碼關(guān)注用戶行為，但很可能是受到去年和蘋果之間的隱私權(quán)大戰(zhàn)的刺激所致。去年蘋果在iOS 14中添加App關(guān)注透明度（App Tracking Transparency，ATT）政策中，要求App在初始安裝時(shí)必須獲得用戶同意才能執(zhí)行關(guān)注，同時(shí)App開發(fā)人員必須獲得許可才能在不同App之間關(guān)注用戶。在此之后，許多Meta廣告商抱怨無法在社群網(wǎng)絡(luò)上鎖定用戶打廣告，最終導(dǎo)致該公司損失100億美元的收入，今年稍早之際其股價(jià)下跌了26%。

跨平臺關(guān)注工具與Meta Pixel雙管齊下

如今，Meta似乎找到了規(guī)避蘋果ATT政策的最佳解決之道，也即Facebook和Instagram開始大力運(yùn)用所謂的“App內(nèi)置瀏覽器”（In-App Browser）技術(shù)來實(shí)行其搜集用戶資料的目的，用戶只要點(diǎn)取網(wǎng)站連接，會直接跳過用戶默認(rèn)的瀏覽器（例如Firefobx或Safari），而通過Facebook和Instagram所管控的瀏覽器來打開頁面。

App開發(fā)工具Fastlane（2017年被Google收購）創(chuàng)辦人Felix Krause在自己的“iOS隱私權(quán)”博客上指出，Instagram App會將專屬關(guān)注碼植入到每個(gè)被自家專屬瀏覽器打開的網(wǎng)頁上，并開始監(jiān)控所有用戶的互動(dòng)行為，包括擊鍵、點(diǎn)擊連接、文本選取、屏幕截圖，甚至任何涉及密碼、地址及信用卡號的表格輸入。

Krause進(jìn)一步發(fā)現(xiàn)，整個(gè)關(guān)注碼的植入機(jī)制會先通過某工具的創(chuàng)建，來列出專屬瀏覽器添加到某網(wǎng)站上的所有額外指令。對于一般瀏覽器和大多數(shù)App，該工具偵測不到任何變動(dòng)。但對于Facebook及Instagram，該工具從中發(fā)現(xiàn)添加18行程序代碼。這些程序代碼會掃描特定跨平臺關(guān)注工具，即使發(fā)現(xiàn)該工具沒被安裝，也會另行調(diào)用Meta Pixel關(guān)注工具。Meta Pixel能讓該公司在網(wǎng)上關(guān)注用戶，并創(chuàng)建精準(zhǔn)的用戶興趣檔。

Meta關(guān)注碼并非Javascript Injection，會根據(jù)用戶意愿及偏好行事

Meta在一份聲明中回應(yīng)表示，該公司關(guān)注碼植入機(jī)制會根據(jù)用戶是否允許App關(guān)注他們的偏好而定，而且關(guān)注碼一開始只用于匯總資料，然后才會用于目標(biāo)式廣告，或?qū)x擇不同意關(guān)注的用戶進(jìn)行評估之用。Meta補(bǔ)充指出，對于經(jīng)由App內(nèi)置瀏覽器所進(jìn)行的購買，該公司會尋求用戶同意，以保存用于自動(dòng)填寫的支付資訊。

看到Meta關(guān)注碼植入機(jī)制，不免讓人聯(lián)想到當(dāng)前網(wǎng)絡(luò)上常見的XSS（Cross-site Scripting）跨站攻擊，該攻擊俗稱“Javascript Injection”（JS植入），是一種網(wǎng)頁秀給用戶之前，在網(wǎng)頁上植入額外程序代碼的攻擊實(shí)例。黑客經(jīng)常會通過這樣的攻擊搜集PII個(gè)人識別資訊或支付資訊等敏感資料。

不過，當(dāng)前并沒有任何跡象顯示，Meta有使用Javascript Injection來搜集用戶資訊。根據(jù)Meta的說法，Meta Pixel通常是用戶自愿性地添加到網(wǎng)絡(luò)上，以協(xié)助企業(yè)得以在Instagram及Facebook上向用戶投放廣告。該關(guān)注工具可以讓企業(yè)關(guān)注訪客在你網(wǎng)站上的活動(dòng)狀況，并搜集相關(guān)資料。除此之外，目前在WhatsApp的內(nèi)置瀏覽器中并沒有發(fā)現(xiàn)有添加關(guān)注碼的跡象。

（首圖來源：Meta）