Threatpost2022年8月12日(米国時間)、「Facebook’s In-app Browser on iOS Tracks ‘Anything You Do on Any Website’|Threatpost」において、FacebookおよびInstagramのiOSアプリ内ブラウザが外部Webサイトでのユーザー行動を追跡可能であると伝えた。ユーザーが同アプリ内ブラウザでアクセスした外部Webサイトで行った「すべてのタップ」を親会社であるMetaが追跡できるようになっていると報告している。

この度、プライバシー研究者のFelix Krause氏がMetaによるユーザー行動の追跡方法を調査し、FacebookおよびInstagramの両iOSアプリがアプリ内ブラウザを介してパスワードやアドレスなどのすべてのフォーム入力からすべてのタップまで、外部Webサイトとのすべてのやり取りを追跡できると主張した(参考「iOS Privacy: Instagram and Facebook can track anything you do on any website in their in-app browser · Felix Krause」)。

iOSユーザーのトラッキングに対する懸念は、Appleが2021年に追加したApp Tracking Transparency(ATT)と呼ばれる機能によって解決されている。しかしながら、両アプリのiOS版が抜け穴を利用してATTのルールを回避し、アプリ内ブラウザで使用されるカスタムJavaScriptコードを介して、Webサイトのアクティビティを追跡していることが明らかとなった。iOSユーザーがFacebookとInstagramの投稿(または広告)内のリンクをクリックすると、Metaは独自のアプリ内ブラウザを起動し、訪問した外部サイトでの行動を追跡できるとのことだ。

Krause氏はプライバシーを重視するユーザーに対して、Instagram(またはFacebookやMessenger)からリンクを開く場合、必ず隅の点をクリックしてSafariでページを開くよう勧めている。なぜなら、SafariはデフォルトでサードパーティのCookieをブロックしているためだからだという。