Instagram
Foto van Instagram-app op iOS-toestel - Beeld: Solen Feyissa / Unsplash

Facebook en Instagram volgen gebruikers via hun in-app browsers. Via geïnjecteerde code ziet Meta precies wat gebruikers doen op de websites; ze kunnen er zelfs wachtwoorden mee verzamelen.

Advertentie

Als je een website opent vanuit Instagram of Facebook, word je standaard via de in-app browser van de apps naar de website geleid. Dat is in de basis niet bijzonder: ontwikkelaars kunnen al jaren in-app browsers integreren in hun Android en iOS apps. Felix Krause meldt dat Meta wel verder gaat dan de meeste ontwikkelaars; het injecteert namelijk javascript-code in iedere website die via de in-app browsers wordt bezocht. Met de code kunnen de sociale media je gedrag op de bezochte websites blijven volgen, terwijl dat normaal niet het geval is bij in-app browsers.

In-app browsers Facebook uitschakelen
Facebook schakelt de in-app browser standaard in, maar je kan hem ook uitschakelen

Krause schrijft dat de code Meta in staat stelt “alle gebruikersinteracties te volgen, zoals knoppen en koppelingen waarop wordt getikt, tekstselecties en screenshots die gemaakt worden en data van de formulierinvoer, zoals wachtwoorden, adressen en creditcardnummers.” Het onderzoek naar in-app browsers van Meta-applicaties werd specifiek uitgevoerd op iOS-apparaten, waarop gebruikers kunnen aangeven niet gevolgd te willen worden door apps via App Tracking Transparency (ATT).

‘Meta verzamelt geen data’

In een reactie tegenover The Guardian stelt Meta dat het de regels van ATT naleeft en daarmee de voorkeuren van gebruikers meeweegt. “Met de code kunnen we ‘gebruikersgegevens verzamelen’ voordat we deze gebruiken voor gerichte reclame- of meetdoeleinden,” meldt een woordvoerder van Meta. Ook zegt de advertentiegigant dat het voor aankopen via de in-app browser vraagt om toestemming voor het opslaan van logingegevens inzake van zijn autofill-functionaliteit.

Kraus zegt in zijn blogpost dat hij geen aanwijzingen heeft dat Meta de code gebruikt om gevoelige data te verzamelen. Toch noemt hij de werkwijze merkwaardig, en merkt hij op dat de injectie van zulke code niet zou werken voor reguliere browsers als Safari of Firefox op beveiligde websites. De injectie van code door Facebook daarentegen werkt op “iedere website, onafhankelijk van of deze beveiligd is of niet,” schrijft de onderzoeker.

Zo schakel je de in-app browser uit

Wil je liever niet dat Instagram of Facebook je activiteiten op websites kunnen volgen? Je kunt de in-app browsers van Facebook gelukkig ook uitschakelen. Op Instagram is dit helaas niet mogelijk. Voor die app ben je dus aangewezen op de in-app browser. Hieronder lopen we je door het proces. Je kan de optie zowel in de Android als iOS-app van Facebook vinden.

  1. Open de Facebook-app
  2. Klik op het hamburgermenu rechtsboven
  3. Klik vervolgens op Instellingen en privacy, gevolgd door Instellingen
  4. Navigeer vervolgens naar de optie Media onder Voorkeuren
  5. Zet een vinkje bij de optie Externe links openen