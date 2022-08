René Resch

Meta benutzt bei Instagram & Facebook einen In-App-Browser, der zulässt, dass das Unternehmen lückenlos bei Nutzern mitlesen und diese tracken kann.

Vergrößern Facebook & Instagram können Nutzer per In-App-Browser tracken und mitlesen © Meta

Wenn Sie am iPhone verschiedene Webseiten über Facebook, Messenger oder Instagram besuchen, wird ein spezieller In-App-Browser benutzt anstelle des von Ihnen ausgewählten Standard-Browsers. Wie nun der aus Wien stammende Softwareentwickler Felix Krause herausgefunden hat, kann Meta theoretisch alles nachverfolgen, was Sie auf diesen Webseiten tun oder sogar mitlesen – und das lückenlos , wie auch Engadget berichtet.

Nutzer-Tracking bei Webseitenaufruf

Dazu wird nach Seitenaufruf ein Javascript-Code eingesetzt, der speziell für das Nutzer-Tracking gedacht ist. "Die Instagram-App injiziert ihren Tracking-Code in jede angezeigte Website, auch wenn man auf Anzeigen klickt, und ermöglicht es ihnen, alle Benutzerinteraktionen zu überwachen, wie z. B. alle getippten Schaltflächen und Links, Textauswahl, Screenshots sowie alle Formulareingaben, wie Passwörter, Adressen und Kreditkartennummern", so Krause in einem Blogbeitrag.

Kein Wunder also, dass sich Meta entsprechend echauffierte, als Apple eine Funktion einführte, die es erlaubt, App-Tracking zu aktivieren oder auch zu deaktivieren, wenn Sie eine App zum ersten Mal öffnen. Meta sprach damals von "Gegenwind für unser Geschäft 2022 [...] in der Größenordnung von 10 Milliarden Dollar".

Meta spielt das Thema herunter

Gegenüber The Guardian spielte Meta dieses Vorgehen herunter: "Der Code ermöglicht es uns, Nutzerdaten zu aggregieren, bevor wir sie für gezielte Werbung oder Messzwecke verwenden", sagte ein Sprecher gegenüber The Guardian. "Wir fügen keine Pixel hinzu. Der Code wird injiziert, damit wir Konversionsereignisse aus Pixeln zusammenfassen können. Für Käufe, die über den In-App-Browser getätigt werden, holen wir das Einverständnis der Nutzer ein, Zahlungsinformationen für die Zwecke der automatischen Ausfüllung zu speichern."

Krause wies sogar darauf hin, dass Facebook die Javascript-Injektion nicht zwangsweise dazu verwendet, sensible Daten zu sammeln. Im Gegenzug gäbe es für Meta gar keine Möglichkeit dazu, würde die App auf den vom Nutzer bevorzugten Browser wie etwa Safari weiterleiten. Die Injektion funktioniere für jegliche Webseite.

Dass es auch anders geht, beweist Meta selbst: Die Messenger-App Whatsapp verändere die Webseiten von Drittanbietern nicht, wie Krause angibt. Daher schlägt der Entwickler vor, dasselbe System auch für Instagram und Facebook zu nutzen oder einfach den Standard-Browser als Weiterleitung zu öffnen.

Ist Android auch betroffen?

Das Magazin Standard hat bei Krause nachgefragt, ob Meta solche Methoden auch unter Android einsetzt. Der Entwickler antwortete, dass er sich bei seinen Recherchen alleine auf iOS von Apple konzentrierte, jedoch Meta ein ähnliches Vorgehen auch unter Android einsetzt. Konkret habe er bei der Instagram-App für Googles Betriebssystem ein vergleichbares Verhalten gefunden, auch dort wird Javascript-Code auf alle mit dem In-App-Browser geöffneten Webseiten eingeschmuggelt.