Facebook en Instagram bleken jarenlang een sluiproute te gebruiken om het surfgedrag van Android-gebruikers te volgen, zelfs wanneer die dachten anoniem te browsen. De apps van moederbedrijf Meta maakten gebruik van een obscure serverfunctie in Android om al het surfverkeer, inclusief dat in incognito-modus, naar Meta door te sturen. Dat blijkt uit onderzoek van onder meer de Radboud Universiteit, zo schrijft de NOS.
De spionagepraktijken werden actief vanaf september vorig jaar en troffen met name gebruikers van Samsung-telefoons en andere Android-apparaten. De gebruikte techniek omzeilde niet alleen incognito-browsen, maar maakte ook cookie-verwijdering zinloos: zolang de gebruiker was ingelogd bij Instagram of Facebook, kon het surfgedrag direct aan diens account worden gekoppeld.
Volgprogramma
Meta kon zo nóg beter gerichte advertenties aanbieden, zonder dat gebruikers hiervan op de hoogte waren. “Meta heeft dit nooit verteld, zowel niet aan gebruikers als aan eigenaren van websites met zo’n volgprogramma,” zegt onderzoeker Gunes Acar van de Radboud Universiteit tegen de NOS.
Hij ontdekte het lek nadat hij zag hoe een Meta-volgprogramma op de achtergrond contact maakte met de Facebook-app, zelfs op de universiteitssite zelf. Google, maker van Android en Chrome, noemt het handelen van Meta een “flagrante schending van ons beveiligings- en privacybeleid” en heeft inmiddels maatregelen genomen.
Meta zou zich beroepen op een “misverstand” over het toepassen van die regels. Intussen rolt Google een update voor de Chrome-browser uit. Volgens privacy-expert Rob van Eijk is het duidelijk dat Meta de wet overtrad. “Volgen mag, maar niet heimelijk. Je moet weten waarvoor je toestemming geeft.”
Niet alleen Meta, maar ook de Russische zoekmachine Yandex zou het lek hebben misbruikt, en dat al sinds 2016. Die laatste dienst wordt in Nederland overigens nauwelijks gebruikt.
