مستخدمو Facebook Meta يقاضونه لتجاوزه أمان Apple للتجسس على الملايين

بعد أن قامت Apple بتحديث قواعد الخصوصية الخاصة بها في عام 2021 للسماح بسهولة لمستخدمي iOS بإلغاء الاشتراك في جميع عمليات التتبع من قبل تطبيقات الطرف الثالث ، اختار العديد من الأشخاص إلغاء الاشتراك .

في حين أن مؤسسة Electronic Frontier Foundation قد أفادت بأن شركة Meta قد خسرت 10 مليارات دولار من العائدات خلال العام المقبل.

يعتمد نموذج أعمال Meta على بيع بيانات المستخدم للمعلنين ، ويبدو أن مالك Facebook و Instagram سعى إلى مسارات جديدة لمواصلة جمع البيانات على نطاق واسع والتعافي من الإيرادات المفقودة فجأة.

في الشهر الماضي ، زعم باحث الخصوصية ومهندس Google السابق ، فيليكس كراوس :

” أن إحدى الطرق التي سعت بها Meta لاسترداد خسائرها كانت عن طريق توجيه أي رابط ينقر عليه المستخدم في التطبيق لفتحه في المتصفح ، حيث أفاد كراوس أن Meta تمكنت من حقن رمز وتغيير مواقع الويب الخارجية وتتبع أي شيء تفعله على أي موقع ويب ، بما في ذلك تتبع كلمات المرور ، دون موافقة المستخدم.”

الآن ، خلال الأسبوع الماضي ، رفعت دعاوى قضائية جماعية من ثلاثة من مستخدمي Facebook و iOS – الذين يشيرون مباشرة إلى بحث Krause – دعوى قضائية ضد Meta نيابة عن جميع مستخدمي iOS المتأثرين .

متهمين Meta بإخفاء مخاطر الخصوصية ، والتحايل خيارات خصوصية مستخدمي iOS .

واعتراض ومراقبة وتسجيل جميع الأنشطة على مواقع الويب الخاصة بالأطراف الثالثة التي يتم عرضها في متصفح Facebook أو Instagram.

يتضمن ذلك إدخالات النماذج ولقطات الشاشة التي تمنح Meta مسارًا سريًا من خلال متصفحها داخل التطبيق للوصول إلى “معلومات التعريف الشخصية والتفاصيل الصحية الخاصة والإدخالات النصية وغيرها من الحقائق السرية الحساسة” – على ما يبدو دون أن يعرف المستخدمون حتى أن جمع البيانات يحدث.

تم تقديم الشكوى الأخيرة أمس من قبل جابرييل ويليس ومقرها كاليفورنيا وكيريشا ديفيس ومقرها لويزيانا.

أخبر آدم بولك ، محام من فريقهم القانوني في Girard Sharp LLP ، آرس أنه من المهم منع Meta من الإفلات من خلال إخفاء غزوات الخصوصية المستمرة.

في الشكوى ، أشار الفريق القانوني إلى أفعال ميتا السيئة السابقة في جمع معلومات المستخدم دون موافقة ، مشيرًا للمحكمة إلى أن تحقيق لجنة التجارة الفيدرالية أدى إلى غرامة قدرها 5 مليارات دولار على Meta.

قال بولك لـ Ars: “إن مجرد استخدام التطبيق لا يمنح شركة التطبيق ترخيصًا للنظر من فوق كتفك عند النقر فوق رابط”.

“يسعى هذا التقاضي إلى تحميل Meta مسؤولية المراقبة السرية لنشاط تصفح الأشخاص من خلال التتبع داخل التطبيق حتى عندما لا يسمحون لـ Meta بالقيام بذلك.”

ولم ترد ميتا على الفور على طلب آرس للتعليق.

أخبر كراوس آرس أنه يفضل عدم التعليق.

قدم متحدث باسم Meta إلى Ars بيانًا:

“هذه الادعاءات لا أساس لها وسندافع عن أنفسنا بقوة. لقد صممنا متصفحنا داخل التطبيق بعناية لاحترام خيارات خصوصية المستخدمين ، بما في ذلك كيفية استخدام البيانات للإعلانات. ”

يُزعم أن ميتا تتعقب البيانات سرا

وفقًا للشكاوى ، التي تعتمد على الحقائق نفسها ، كشف بحث Krause :

“أن Meta كانت تضخ كودًا في مواقع ويب تابعة لجهات خارجية ، وهي ممارسة تسمح لـ Meta بتتبع المستخدمين واعتراض البيانات التي لن تكون متاحة لها بخلاف ذلك.”

للتحقيق في مشكلة الخصوصية المحتملة ، أنشأ Krause موقعًا على الويب يسمى inappbrowser.com ، حيث يمكن للمستخدمين “اكتشاف ما إذا كان متصفح معين داخل التطبيق يقوم بحقن رمز في مواقع ويب تابعة لجهات خارجية.”

قارن تطبيقًا مثل Telegram ، الذي لا يضخ كود JavaScript في مواقع الطرف الثالث لتتبع بيانات المستخدم في متصفحه داخل التطبيق ، مع تطبيق Facebook من خلال تتبع ما يحدث في ملف HTML عندما ينقر المستخدم على رابط.

في حالة الاختبارات التي يتم إجراؤها على تطبيقات Facebook و Instagram ، أفاد Krause أن ملف HTML أظهر بوضوح أن:

“Meta تستخدم JavaScript لتغيير مواقع الويب وتجاوز إعدادات الخصوصية الافتراضية لمستخدميها من خلال توجيه المستخدمين إلى متصفح Facebook داخل التطبيق بدلاً من استخدامهم السابق متصفح الويب الافتراضي المبرمج “.

تشير الشكاوى إلى أن أسلوب حقن الشفرة هذا الذي يبدو أنه استخدمته شركة Meta “للتنصت” على المستخدمين كان يُعرف في الأصل باسم هجوم حقن JavaScript. تُعرِّف الدعوى القضائية ذلك على أنه حالات “يقوم فيها أحد الفاعلين بالتهديد بحقن شفرة ضارة مباشرة في JavaScript من جانب العميل.

وهذا يسمح لممثل التهديد بالتلاعب بموقع الويب أو تطبيق الويب وجمع البيانات الحساسة ، مثل معلومات التعريف الشخصية (PII) أو معلومات الدفع . ”

وتزعم الشكوى أن “Meta تستخدم الآن أداة الترميز هذه للحصول على ميزة على منافسيها ، وفيما يتعلق بمستخدمي iOS ، تحافظ على قدرتها على اعتراض وتتبع اتصالاتهم”.

وفقًا للشكاوى:

“أقرت Meta بأنها تتعقب نشاط التصفح داخل التطبيق لمستخدمي Facebook” عندما أبلغ Krause عن المشكلة لبرنامج bug bounty الخاص به.

تقول الشكاوى أن Meta أكدت أيضًا في ذلك الوقت أنها تستخدم البيانات التي تم جمعها من التصفح داخل التطبيق للإعلانات المستهدفة.

“لا شيء ينبه المستخدمين”

نظرًا لأن تطبيق Meta الشهير الآخر ، WhatsApp ، لا يستخدم أيضًا نفس التكتيك ، قال المدعون إنهم يرفضون اقتراح Meta بأن إدخال الكود قد يكون لأغراض أمنية.

كما لاحظوا أن Meta لم تذكر تتبع المتصفح داخل التطبيق في إعدادات النشاط خارج Facebook .

حيث يمكن للمستخدمين مراقبة كيفية جمع بياناتهم من الشركات أو مواقع الويب.

على سبيل المثال ، يمكن للمستخدمين تتبع البيانات المشتركة عند استخدام تسجيل الدخول إلى Facebook للوصول إلى حسابات خارج Facebook على مواقع الويب الأخرى.

تزعم الشكاوى أنه “لا يوجد مبرر لـ” حذف Meta هذه المعلومات من مراقبة النشاط خارج Facebook “، بخلاف زيادة” الأرباح “، بما يتجاوز ما كان يمكن أن يدركه بخلاف ذلك.”

تزعم الدعوى القضائية أن سياسات Meta الحالية مصممة عن قصد لترك المستخدمين في الظلام.

“لا تخبر Meta مستخدمي Facebook أن النقر على روابط مواقع ويب تابعة لجهات خارجية من داخل Facebook سيرسل المستخدم تلقائيًا إلى متصفح Facebook داخل التطبيق ، بدلاً من متصفح الويب الافتراضي للمستخدم ، أو أن Meta ستراقب نشاط المستخدم واتصالاته بينما في تلك المواقع ” تقول الشكاوى.

“نظرًا لأنه لا يوجد شيء ينبه المستخدمين بشأن هذه الحقائق ، فهم غير مدركين للتتبع ؛ معظمهم لا يدركون حتى أنهم يتصفحون موقع الطرف الثالث من داخل متصفح Facebook داخل التطبيق.”

أشار Krause في تقريره إلى أنه حتى مستخدمي iOS في وضع Lockdown ليسوا محميين من تتبع المتصفح داخل التطبيق ، ولا توجد طريقة لإلغاء الاشتراك.

وأوصى بأن تقوم Meta بتحديث إعدادات Instagram و Facebook للعمل مثل WhatsApp وعدم تعديل مواقع الطرف الثالث مطلقًا.

الحل الأكثر وضوحًا هو إنهاء التصفح الافتراضي داخل التطبيق ومنح المستخدمين خيار عرض الروابط التي ينقرون عليها في المتصفحات المختارة.

بعد أن قدم Krause ما وصفه بأنه مصدر قلق للخصوصية إلى Meta من خلال برنامج مكافأة الأخطاء ، أفاد أن Meta قال إن النص تم إدخاله جزئيًا لأنه كان ميزة أمان “تساعد Meta على احترام خيار إلغاء الاشتراك الخاص بالمستخدم ATT” لعدم البيع أو تبادل المعلومات.

وأشار كراوس إلى أن هذا “يكون ذا صلة فقط إذا كان موقع الويب الذي تم عرضه يحتوي على Meta Pixel مثبتًا” لتتبع نشاط الزائر وأنه “لن يكون ضروريًا إذا قام Instagram بفتح المتصفح الافتراضي للهاتف.”

مقالات ذات صلة