Felix Krause นักพัฒนาซอฟต์แวร์ผู้สร้างบริการ Fastlane สำหรับนักพัฒนาแอพมือถือ และเป็นผู้เชี่ยวชาญด้านระบบความเป็นส่วนตัวของ iOS ออกมาเปิดเผยว่าเบราว์เซอร์ภายในแอพ Facebook, Messenger และ Instagram ทั้งบน iOS/Android แอบฝังสคริปต์บนหน้าเว็บที่เปิดลิงก์ เพื่อตามรอยผู้ใช้งาน และเก็บข้อมูลเพื่อยิงโฆษณาได้แม่นยำขึ้น

ปกติแล้ว แอพบน iOS/Android สามารถเลือกเปิดลิงก์ผ่านเบราว์เซอร์ของระบบ หรือผ่านเอนจินเบราว์เซอร์จำพวก WebView ก็ได้ แต่แอพใหญ่ๆ บางตัวเลือกทำเบราว์เซอร์เองบนเอนจินของระบบปฏิบัติการอีกที โดยเพิ่มส่วนควบคุมต่างๆ เข้ามาจาก WebView ปกติ

กรณีของบริษัท Meta เลือกแนวทางนี้สำหรับแอพ Facebook, Messenger, Instagram ซึ่งตามปกติก็ควรไม่มีอะไร แต่ Krause พบว่าเบราว์เซอร์ตัวนี้แอบฝังไฟล์จาวาสคริปต์ (connect.facebook.net/en_US/pcm.js) เข้ามาบนเว็บเพจที่เรนเดอร์ด้วย ซึ่งตามทฤษฎีแล้ว ไฟล์สคริปต์นี้สามารถเก็บข้อมูลได้ทุกอย่างของเพจที่เรนเดอร์ และดูว่าผู้ใช้คลิกอะไรบนเพจบ้าง

Krause สร้างเว็บเพจขึ้นมาเพื่อตรวจสอบการฝังสคริปต์ของ Meta หากเปิดเพจดังกล่าวจากแอพ 3 ตัวข้างต้น จะเห็นหน้าจอดักการฝังสคริปต์ดังภาพ

หลังเรื่องนี้เป็นข่าวดัง Meta ส่งอีเมลชี้แจงต่อ Krause ว่าสคริปต์เป็นการประเมินอีเวนต์ที่น่าจะเกิดขึ้นบนเพจ (เช่น ผู้ใช้คลิกเข้ามาเพื่อจะสั่งของออนไลน์ แต่ยังไม่ได้กดสั่ง) ซึ่ง Meta นำข้อมูลที่ได้ไปยิงโฆษณาแบบเจาะจงและวัดผลของการโฆษณา (targeted advertising and measurement)

Krause บอกว่าคำอธิบายนี้ฟังไม่ค่อยขึ้น และ Meta ไม่ควรแอบฝังสคริปต์ใดๆ มาตั้งแต่แรก ซึ่งแอพตัวเดียวของ Meta ที่ไม่แอบฝังสคริปต์ตอนเปิดลิงก์คือ WhatsApp เท่านั้น (WhastApp เรียกใช้เบราว์เซอร์ของระบบเพื่อเปิดลิงก์) ตอนนี้ยังไม่มีทางแก้หรือป้องกันตัวอื่นๆ ยกเว้นไม่เปิดลิงก์ภายในแอพทั้งสามตัวตั้งแต่แรก

ที่มา - Felix Krause