Dat Facebook en Instagram alles van je weten, dat is geen nieuws. Wel interessant is nieuws van de Radboud Universiteit. Uit onderzoek blijkt dat moederbedrijf Meta via de twee apps gebruikers nauwlettend in de gaten hielden. Het surfgedrag werd zelfs in incognitomodus doorgestuurd naar Meta.
Meta weet alles van je
Als je veel om je privacy geeft, dan weet je dat Facebook en Instagram niet de beste partijen zijn om daar gebruik van te maken. Niet zelden verschijnt er hier en daar weer een bericht over je privacy bij deze twee diensten. Zo worden sinds vorige week je berichten gebruikt voor het trainen van AI, en wordt aangeraden om hier tegen bezwaar te maken. Nu blijkt uit onderzoek van de Radboud Universiteit dat Meta tijdenlang toegang had tot je surfgedrag middels een zogenaamd spionagetrucje, zo schrijft de NOS.
Een internationaal onderzoeksteam, onder meer van de Radboud Universiteit, ontdekte dat deze apps op de achtergrond je internetgebruik konden volgen, zelfs als je incognito surft of cookies hebt verwijderd. Hoe werkte dat precies? Android-apps kunnen een kleine lokale server op je telefoon starten, meestal bedoeld voor bijvoorbeeld bestandsuitwisseling. Meta, het moederbedrijf van Facebook en Instagram, gebruikte die mogelijkheid om surfverkeer vanuit andere apps of browsers ongemerkt te onderscheppen. Zodra je ingelogd was op een van die apps, werd jouw surfgedrag automatisch gekoppeld aan je profiel.
Zodra je een website bezocht die trackingtechnologie van Meta gebruikt, zoals veel commerciële sites dat doen, kon de app op je telefoon meekijken. Zo kreeg Meta toegang tot waardevolle informatie voor gerichte advertenties, zonder dat je daarvan op de hoogte was.
Onderzoeker Gunes Acar van de Radboud Universiteit kwam het op het spoor via zijn eigen universiteitssite, die ook Meta-tracking gebruikt. Hij merkte op dat er communicatie plaatsvond tussen de site en de Facebook- of Instagram-app op zijn toestel. Dat leidde tot nader onderzoek, met opvallende conclusies: Meta heeft deze manier van tracking nooit kenbaar gemaakt aan gebruikers, noch aan de beheerders van websites die gebruik maakten van de tracking-software.
Volgens Google, de maker van Android en Chrome, is dit in strijd met hun beveiligingsregels. Zij spreken van een ernstige schending en voeren inmiddels een beveiligingsupdate voor Chrome door. Meta zegt dat er sprake is van een ‘misverstand’ en is in overleg met Google.
Juridisch gezien is de zaak gevoelig. Je mag gebruikers op internet volgen, maar alleen als ze daar duidelijk en bewust toestemming voor geven. Volgens privacy-expert Rob van Eijk schendt deze werkwijze die regel. Ook burgerrechtenorganisatie Bits of Freedom uit stevige kritiek: zelfs als je maatregelen neemt om je privacy te beschermen, zoals het weigeren van cookies, blijken bedrijven toch manieren te vinden om je onlinegedrag te volgen.
Voor zover bekend gebeurde dit alleen op Android. Op iPhones (iOS) is het technisch lastiger om dit soort gedrag te onderzoeken, dus zekerheid daarover is er nog niet. Ook andere apps, zoals die van het Russische bedrijf Yandex, bleken al jarenlang van dezelfde techniek gebruik te maken.
Meta is inmiddels gestopt met deze vorm van tracking, maar pas nadat media hen op de praktijk hadden gewezen.
