Meta – selskabet bag Facebook og Instagram – er kommet i kraftig modvind, efter det er kommet frem, at de har anvendt en metode, der gør det muligt at følge brugernes adfærd på nettet. Ifølge uafhængige sikkerhedsforskere har Meta udnyttet en sårbarhed i Android-systemet til at koble brugeres browserhistorik med deres Facebook- eller Instagram-profiler – også når de surfer anonymt.
Det er forskere fra universiteter i Spanien, Holland og Belgien, der har dokumenteret, hvordan Meta – og også det russiske techfirma Yandex – via en teknik kunne sammenkæde data fra mobilapps med data fra webbrowseren på samme telefon.
Ifølge forskerne udnyttede teknikken en funktion i Android, der gjorde det muligt for appen at “lytte” på bestemte netværksporte i systemet. Det betød, at Meta potentielt kunne identificere, hvilke hjemmesider en bruger besøgte – og direkte knytte det til den profil, som personen var logget ind med i Facebook-appen. Dette kunne ske, selvom brugeren benyttede inkognitotilstand, havde slettet cookies eller nulstillet telefonens annonce-ID.
– Kanalen tillader, at Android fortæller appen, hvad der foregår i browseren, sammen med hvilken bruger der er logget ind, forklarer forsker Narseo Vallina-Rodriguez til Ars Technica.
Også muligt i inkognitotilstand
Det særligt opsigtsvækkende er, at teknikken kunne fungere uden brugerens viden og uden mulighed for at fravælge den. Ifølge forskerne har teknologien været aktiv siden september 2024, og den har virket, selv når brugeren har forsøgt at anonymisere sig digitalt.
Kernen i teknikken var brugen af “Meta Pixel” – en kode, som er indlejret på millioner af websites. Forskerne vurderer, at denne kode findes på over 5,8 millioner sider verden over. Dermed har mange Android-brugere potentielt været udsat for den skjulte sporing.
Google: Brud på vores principper
Google, som står bag Android-styresystemet, har reageret skarpt på afsløringen:
“Det her er et klart brud på vores sikkerheds- og privatlivsprincipper,” lyder det i en officiel udtalelse fra virksomheden. Google har iværksat en undersøgelse og har allerede rullet en opdatering ud til Chrome-browseren, der skal blokere den type trafik. Mozilla Firefox arbejder på en tilsvarende løsning.
Meta afviser ikke, at teknologien har været brugt, men mener, sagen er blevet misforstået. En talsmand fra selskabet siger, at man er i dialog med Google for at “afklare anvendelsen af deres retningslinjer”, og at funktionen midlertidigt er sat på pause.
Det russiske selskab Yandex, som også er nævnt i rapporten, bekræfter at have benyttet lignende metoder siden 2017. De oplyser dog, at de nu vil stoppe praksissen. Ifølge dem er formålet ikke at indsamle følsomme oplysninger, men blot at forbedre personalisering i deres apps.
For brugere betyder sagen, at selv den mest forsigtige adfærd – som at bruge inkognitotilstand eller rydde historikken – ikke nødvendigvis beskytter mod sporing. Det rejser igen spørgsmålet om, hvor meget kontrol brugere egentlig har over deres egne data, når de bruger apps fra store techselskaber som Meta.
Samtidig viser sagen, hvordan tekniske smuthuller i mobilstyresystemer kan bruges til at omgå ellers velkendte sikkerhedsfunktioner – uden at brugeren opdager det.