中國日報網8月30日電 據英國媒體《衛報》報道，一位前谷歌工程師稱，Facebook和Instagram的母公司Meta一直在對其網站進行重新編碼，將代號為“Meta Pixel”的JavaScript代碼注入所有鏈接和網站，跟蹤點擊其應用程序中鏈接的用戶。

在Facebook和Instagram上，用戶使用的是兩款應用提供的“應用內瀏覽器”，而不是用戶自己選擇的Safari或火狐等網絡瀏覽器。它們利用這一點，在所有鏈接和網站中注入JavaScript代碼，監控所有用戶交互和活動。

關注隱私安全問題的研究人員Felix Krause稱，“Instagram將JavaScript跟蹤代碼注入到每一個展示的網站中，包括點擊廣告時出現的網頁，監控所有用戶的互動，例如點擊的按鈕和鏈接、文本選擇、屏幕截圖，以及包括密碼、地址和信用卡號在內的所有表單輸入。”

根據分析，通過該代碼，Meta可以在未經用戶同意的情況下監控所有用戶交互和活動，甚至是敏感信息。

Meta在一份聲明中表示，用戶可以選擇是否允許應用跟蹤，注入跟蹤代碼符合這一用戶偏好，且該代碼僅用于匯總數據，為之后那些拒絕跟蹤的用戶投放定向廣告或進行評估。

“我們開發跟蹤代碼，是為了尊重用戶在我們平臺上的‘要求跟蹤’選擇。通過這個代碼，可以對用戶的交互活動進行匯總。”

“對于通過應用內瀏覽器進行的購買，我們會征求用戶意見，確定用戶是否同意自動填寫信息，以便為用戶保存支付信息。”

Krause構建了一個可以列出瀏覽器添加到網站的所有外部命令的工具，從而發現了Meta注入的代碼。這一工具檢測不到普通瀏覽器和大多數應用程序的任何更改，但它在Facebook和Instagram上發現，這兩個應用程序添加有多達18行代碼，這些代碼似乎能夠掃描特定的跨平臺跟蹤工具包，如果未安裝此類跟蹤工具包，則利用“Meta Pixel”來跟蹤用戶，并建立準確的用戶興趣檔案。

Meta并未向用戶透露它是通過注入代碼來重新編碼網頁。據Krause研究，WhatsApp的應用內瀏覽器中沒有添加此類代碼。

“注入JavaScript”——即在用戶瀏覽網頁之前向網頁添加額外代碼的做法——通常被視為是一種惡意攻擊行為。網絡安全公司Feroot認為，通過注入JavaScript代碼，“威脅主體能夠操控網站或Web應用程序，并收集敏感數據，如個人身份信息 (PII) 或支付信息。”

Meta是否通過注入JavaScript代碼來收集此類敏感數據尚不清楚。Meta表示，“Meta Pixel”通常是自愿被添加到網站中的，從而向Instagram和Facebook上的用戶投放廣告。Meta稱，“通過Meta Pixel，您可以跟蹤您網站上訪問者的活動”，并且可以收集相關數據。

Facebook在用戶點擊鏈接后何時開始注入代碼來跟蹤用戶，目前尚不清楚。近年來，Facebook與蘋果一直在公開對抗。蘋果曾表示，開發者需征得用戶許可才能在其他App和網站上跟蹤用戶。據Meta稱，在蘋果發表聲明后，Facebook的許多廣告商發現自己無法在社交網絡上準確定位用戶，導致這些廣告商損失100億美元的收入，公司股價在今年早些時候下跌26%。

（編譯：武文潔?編輯：王旭泉）