كشف بحثٌ أجراه مهندسٌ سابق في جوجل، أن شركة ميتا، مالكة فيسبوك وإنستغرام، كانت تُعيد كتابة النصوص البرمجية للمواقع التي يزورها مستخدموها؛ حتى تتمكن الشركة من تتبُّعهم على الويب بعد النقر على الروابط في تطبيقاتها.
حيث استغل التطبيقان الخاصية التي تنقل المستخدمين بعد الضغط على الروابط إلى صفحات ويب في "المتصفح داخل التطبيق"، الذي تتحكم فيه فيسبوك وإنستغرام، بدلاً من إرسال المستخدم إلى متصفحه المفضل مثل سفاري أو فايرفوكس، وذلك حسبما نشرت صحيفة The Guardian البريطانية في تقرير لها الخميس 11 أغسطس/آب 2022.
شركة ميتا تتجسس على مستخدميها
إذ قال فيليكس كراوس، باحث الخصوصية الذي أنشأ أداةً لتطوير التطبيقات استحوذت عليها جوجل عام 2017: "يقوم تطبيق إنستغرام بحقن نصوص التتبع البرمجية في كل موقع ويب يظهر للمستخدم حتى في أثناء النقر على الإعلانات، مما يُمكِّن التطبيق من مراقبة جميع تفاعلات المستخدم مثل كل زر أو رابط نقر عليه، واختيارات النصوص، ولقطات الشاشة، وأي مدخلات أخرى (مثل كلمات المرور، والعناوين، وأرقام بطاقات الائتمان)".
في بيانٍ لها، قالت ميتا إنَّ حقن نصوص التتبع البرمجية يمتثل لتفضيلات المستخدمين حول ما إذا كانوا يريدون السماح للتطبيقات بتتبُّعهم أم لا، وأنها تُستخدم فقط في جمع البيانات من أجل الاستفادة منها في الإعلانات المستهدفة أو أغراض القياس على المستخدمين الآخرين الذين رفضوا السماح بهذا التتبع.
من جانبه قال المتحدث باسم الشركة: "قصدنا تطوير هذا النص البرمجي احتراماً لخيارات (طلب التتبع) من المستخدمين على منصاتنا. إذ يسمح لنا النص البرمجي بجمع بيانات المستخدمين، قبل استخدامها في الإعلانات المستهدفة أو أغراض القياس. ولا نضيف أي بكسلات لتلك الصفحات، بل يجري حقن النص البرمجي لجمع بيانات التفاعلات مع كل بكسل. أما فيما يتعلق بالمشتريات التي تجري من خلال المتصفح داخل التطبيق، فنطلب موافقة المستخدم من أجل حفظ معلومات الدفع لأغراض الإكمال التلقائي".
في المقابل اكتشف كراوس حقن النص البرمجي ببناء أداة تستطيع إدراج كافة الأوامر الإضافية التي يضيفها المتصفح لموقع الويب. ولا ترصد الأداة أي تغييرات في المتصفحات العادية وغالبية التطبيقات. لكنها عثرت على 18 سطراً برمجياً أضافها التطبيق عند استخدامها مع فيسبوك وإنستغرام. ويبدو أن تلك الأسطر البرمجية تجري عملية مسح بحثاً عن مجموعة أدوات تتبُّع متعددة المنصات، وأداة تتبُّع تسمح للشركة بتعقُّب المستخدم في الويب وإنشاء ملف دقيق عن اهتماماته.
إعادة كتابة صفحات الويب
في سياق موازٍ لا تكشف الشركة للمستخدم أنها تعيد كتابة صفحات الويب بهذه الطريقة. كما كشف بحث كراوس أن المتصفح داخل التطبيق في واتساب لا يُضيف أي نصوص برمجية لصفحات الويب.
حيث يجري تصنيف "حقن الجافا سكريبت" عادةً كنوعٍ من أنواع هجمات البرمجيات الخبيثة، وهي ممارسةٌ تنطوي على إضافة نصوص برمجية إلى صفحة الويب قبل عرضها على المستخدم. وتُعرّف شركة الأمن السيبراني Feroot هذه الممارسة بأنها هجوم "يسمح للطرف الخطير بأن يتلاعب بموقع أو تطبيق الويب ليجمع البيانات الحساسة، مثل بيانات التعريف الشخصي أو معلومات الدفع".
من ناحية أخرى لا توجد أي إشارة إلى استخدام ميتا ممارسة حقن الجافا سكريبت في جمع مثل هذه البيانات الحساسة. إذ ينص وصف الشركة لأداة ميتا بكسل Meta Pixel على أنها "تسمح بتتبُّع نشاط الزوار على موقع الويب الخاص بك"، وأن بإمكانها جمع البيانات ذات الصلة.
فيما لم يتضح بعد متى بدأت منصة فيسبوك في حقن النصوص البرمجية لتتبُّع المستخدمين بعد نقرهم على الروابط.