周三，Meta因涉嫌在苹果iPhone的Facebook和Instagram应用程序中进行未披露的跟踪和数据收集而被起诉。

在旧金山美国联邦地区法院提起的诉讼称，这两个应用程序联合使用了自己的浏览器WKWebView，该浏览器注入了JavaScript代码来收集数据，如果应用程序在iPhone用户指定的默认独立浏览器中打开链接，这些数据将无法使用。

这一说法是基于安全研究员费利克斯·克劳斯(Felix Krause)的调查结果，他在上个月发表了一份分析报告，分析了嵌入在本地应用程序中的WKWebView浏览器是如何被滥用来跟踪用户和违反隐私预期的。

“当用户点击脸书应用程序中的链接时，Meta会自动将他们引导到它正在监控的应用程序内浏览器，而不是智能手机的默认浏览器，而不会告诉用户正在发生这种情况或他们正在被跟踪，”诉状称。"。

Meta拦截、监控和记录的用户信息包括个人身份信息、私人健康详情、文本条目和其他敏感和机密事实。

面对Krause上个月的调查结果，Meta坚称其代码注入是为了尊重用户的隐私选择(默认浏览器的选择除外)。

一位Meta发言人上个月告诉Register:“我们打算开发这一代码，以尊重人们在我们平台上的应用程序跟踪透明度(ATT)选择。”。“这些代码允许我们在将数据用于有针对性的广告或测量目的之前对其进行汇总。”

Meta的通信主管安迪·斯通(Andy Stone)通过Twitter发表了类似的声明。

我们不给网站增加像素。有问题的代码允许我们尊重人们的隐私选择，在这些事件用于广告或测量目的之前，帮助汇总网站上已经存在的像素事件(如在线购买)。

——安迪·柊司(安迪·柊司)2022年8月11日

这份寻求集体诉讼证据的诉状认为，Meta的未公开跟踪违反了联邦窃听法规、加州隐私侵犯法和州竞争法，基于Meta获得的数据使其能够增加利润并获得竞争优势。

“元注入的JavaScript与iPhone和其他iOS设备最近的隐私更新一致，”诉状称，并指出2021年iOS 14.5的推出及其数据拒绝应用程序跟踪透明度(ATT)框架。

这场法律诉讼充分说明了Meta(当时叫脸书)是如何发起公关活动来撤销ATT的，但并不成功，因为这会伤害社交广告行业中依赖数据驱动广告的小企业。

Meta坚持说它遵循了苹果的ATT规则，Klaus对此没有异议。

然而，Meta在其移动应用中使用应用内浏览器的时间早于苹果的ATT计划。苹果在2014年全球开发者大会上推出了WKWebView，以取代其较旧的UIWebView(UIKit)和WebView(AppKit)框架。那是在iOS 8里。随着iOS 9的到来，如WWDC 2015中所述，又有了一个选项，SFSafariViewController。目前这是推荐在应用中展示网站的方式。

该公司对应用内浏览器的使用也引起了关注。

谷歌的开发者关系工程师托马斯·斯坦纳(Thomas Steiner)在三年前的一篇博文中写道:“除了功能有限之外，WebViews还可以有效地进行中间人攻击，因为IAB(应用内浏览器)开发者可以随意注入JavaScript代码，拦截网络流量。”。

在他的帖子中，Steiner强调他没有看到类似“call home”的异常功能。

克劳斯采取了类似的方法，只是指出了滥用的可能性。在随后的一篇文章中，他确定了额外的数据收集代码。

他写道，“Instagram iOS订阅了Instagram应用程序内部呈现的外部网站上任何按钮、链接、图像或其他组件的每次点击”，还“订阅了用户每次在Instagram应用程序内部呈现的第三方网站上选择UI元素(如文本字段)。”

然而，“订阅”仅仅意味着可以在应用程序中访问分析数据，而不提供任何关于数据处理方法的结论。克劳斯还指出，自2020年以来，苹果提供了一个名为WKContentWorld的框架，将网络环境与脚本隔离开来。他说，使用应用内浏览器的开发者可以实现WKContentWorld，这样就无法从外部检测到脚本。

无论Meta在内部对其应用内浏览器做了什么，即使考虑到该公司坚持其注入的脚本验证ATT设置，起诉该公司的原告认为该过程没有被披露。

“Meta没有披露在脸书的应用内浏览器中浏览、导航和与第三方网站交流的后果，也就是说，这样做会覆盖默认浏览器的隐私设置，用户依赖默认浏览器来屏蔽和阻止跟踪，”诉状称。"。 "同样，Meta隐藏了它注入改变外部第三方网站的JavaScript的事实，从而可以拦截、跟踪和记录它无法访问的数据。"

Meta拒绝了这一要求。公司发言人在一份电子邮件声明中表示:“这些指控毫无根据，我们将积极为自己辩护。”。

“我们精心设计了应用内浏览器，以尊重用户的隐私选择，包括如何使用数据进行广告宣传。"