Después de que Apple actualizó sus reglas de privacidad en 2021 para permitir fácilmente a los usuarios de iOS optar por no participar en el seguimiento de aplicaciones de terceros, tantas personas optaron por no participar que Electronic Frontier Foundation informó que Meta perdió $ 10 mil millones en ingresos durante el próximo año.
El modelo de negocio de Meta depende de la venta de datos de los usuarios a los anunciantes, y parece que el propietario de Facebook e Instagram buscó nuevos caminos para seguir recopilando datos de forma generalizada y recuperarse de la repentina pérdida de ingresos. El mes pasado, un investigador de privacidad y ex ingeniero de Google, Felix Krause, alegó que una forma en que Meta buscaba recuperar sus pérdidas era dirigiendo cualquier enlace en el que un usuario haga clic en la aplicación para abrir en el navegador, donde Krause informó que Meta podía inyectar un código, alterar los sitios web externos y realizar un seguimiento de «cualquier cosa que haga en cualquier sitio web», incluido el seguimiento de contraseñas, sin el consentimiento del usuario.
Ahora, en la última semana, dos demandas colectivas [1] [2] de tres usuarios de Facebook e iOS, que apuntan directamente a la investigación de Krause, están demandando a Meta en nombre de todos los usuarios de iOS afectados, acusando a Meta de ocultar los riesgos de privacidad, eludir las opciones de privacidad de los usuarios de iOS e interceptar, monitorear y registrar toda la actividad en terceros. sitios web de fiestas vistos en el navegador de Facebook o Instagram. Esto incluye entradas de formularios y capturas de pantalla que otorgan a Meta una canalización secreta a través de su navegador en la aplicación para acceder a «información de identificación personal, detalles de salud privados, entradas de texto y otros datos confidenciales sensibles», aparentemente sin que los usuarios sepan que la recopilación de datos está ocurriendo.
La denuncia más reciente fue presentada ayer por Gabriele Willis, con sede en California, y Kerreisha Davis, con sede en Luisiana. Un abogado de su equipo legal en Girard Sharp LLP, Adam Polk, le dijo a Ars que era un caso importante para evitar que Meta se saliera con la suya ocultando las invasiones de privacidad en curso. En la denuncia, el equipo legal señaló las fechorías anteriores de Meta al recopilar información del usuario sin consentimiento, y señaló para el tribunal que una investigación de la Comisión Federal de Comercio resultó en una multa de $ 5 mil millones para Meta.
«Simplemente usar una aplicación no le da a la compañía de aplicaciones licencia para mirar por encima de su hombro cuando hace clic en un enlace», dijo Polk a Ars. «Este litigio busca responsabilizar a Meta por monitorear en secreto la actividad de navegación de las personas a través de su seguimiento en la aplicación, incluso cuando no han permitido que Meta haga eso».
Meta no respondió de inmediato a la solicitud de comentarios de Ars. Krause le dijo a Ars que prefiere no comentar. [Update: A Meta spokesperson provided Ars with a statement: «These allegations are without merit and we will defend ourselves vigorously. We have carefully designed our in-app browser to respect users’ privacy choices, including how data may be used for ads.»]
Meta supuestamente rastrea datos en secreto
Según las denuncias, que se basan en los mismos hechos, la investigación de Krause «reveló que Meta ha estado inyectando código en sitios web de terceros, una práctica que le permite a Meta rastrear a los usuarios e interceptar datos que de otro modo no estarían disponibles».
Para investigar el posible problema de privacidad, Krause creó un sitio web llamado inappbrowser.com, donde los usuarios podrían «detectar si un navegador en particular en la aplicación está inyectando código en sitios web de terceros». Comparó una aplicación como Telegram, que no inyecta código JavaScript en sitios web de terceros para rastrear los datos del usuario en su navegador en la aplicación, con la aplicación de Facebook al rastrear lo que sucede en el archivo HTML cuando un usuario hace clic en un enlace.
En el caso de las pruebas realizadas en las aplicaciones de Facebook e Instagram, Krause informó que el archivo HTML mostraba claramente que «Meta usa JavaScript para alterar los sitios web y anular la configuración de privacidad predeterminada de sus usuarios al dirigir a los usuarios al navegador de la aplicación de Facebook en lugar de a su configuración previa». navegador web predeterminado programado».
Las quejas señalan que esta táctica de inyectar código aparentemente empleada por Meta para «escuchar» a los usuarios se conocía originalmente como un ataque de inyección de JavaScript. La demanda define eso como instancias en las que «un actor de amenazas inyecta código malicioso directamente en el JavaScript del lado del cliente. Esto permite que el actor de amenazas manipule el sitio web o la aplicación web y recopile datos confidenciales, como información de identificación personal (PII) o información de pago .»
«Meta ahora está utilizando esta herramienta de codificación para obtener una ventaja sobre sus competidores y, en relación con los usuarios de iOS, preservar su capacidad para interceptar y rastrear sus comunicaciones», alega la denuncia.
Según las quejas, «Meta reconoció que rastrea la actividad de navegación en la aplicación de los usuarios de Facebook» cuando Krause informó el problema a su programa de recompensas por errores. Las quejas dicen que Meta también confirmó en ese momento que utiliza datos recopilados de la navegación en la aplicación para publicidad dirigida.