Aus Wien stammender Softwareentwickler Felix Krause zeigt ein massives Privacy-Problem auf: Meta schmuggelt in direkt aus den Apps geöffneten Webseiten Tracking-Codes ein

Softwarehersteller Meta könnte theoretisch alles, was die Nutzer auf aus den eigenen Facebook-, Instagram- und Messenger-Apps am iPhone geöffneten Webseiten tun, mitlesen - und zwar wirklich lückenlos. Davor warnt der aus Wien stammende Softwareentwickler Felix Krause in einem Blogeintrag, den DER STANDARD bereits vorab einsehen konnte.


Bild: Felix Krause

Der Grund dafür: Beide Apps verwenden einen sogenannten In-App-Browser, der von Meta selbst entwickelt wurde. Klickt man nun bei Instagram oder Facebook auf einen externen Link, öffnet sich dieser statt des eigentlichen Browsers am System - was in den meisten Fällen wohl Safari wäre. Ein eigener Browser bedeutet aber auch, dass dessen Hersteller einen weitreichenden Zugriff auf die Inhalte hat.

Sowohl die Facebook- als auch die Instagram-App für iPhones fügen auf jeder in besagtem In-App-Browser aufgerufenen Webseite ein Stück Javascript-Code ein - und zwar eines, das explizit für User-Tracking gedacht ist.

Über diesen Code könnte Meta prinzipiell sämtliche User-Aktivitäten haargenau verfolgen, das inkludiert, auf welche Elemente geklickt wird, oder auch die Möglichkeit, Screenshots anzulegen.


Bild: Felix Krause

Der verwendete Code ist übrigens nicht geheim. Es handelt sich um das sogenannte Meta Pixel, das Webseitenbetreiber zum Tracking von Nutzeraktivitäten mithilfe von Facebook/Meta gezielt in ihre Pages einbauen können.

Mehr dazu findet ihr auf derstandard.at