Pengguna iPhone, Hati-hati Klik Link di Facebook dan Instagram

KOMPAS.com - Peneliti privasi iOS, Felix Krause menemukan celah keamanan di Facebook dan Instagram. Menurut Krause, kedua aplikasi Meta di iOS itu bisa membaca link (tautan), dan melihat interaksi pengguna setelah mengeklik link luar di Facebook dan Instagram.

Dengan begitu, media sosial tersebut bisa melihat pilihan teks, input teks seperti password (kata sandi), atau detail nomor kartu kredit pengguna.

Menurut Krause, Facebook dan Instagram di iOS menggunakan peramban (browser) khusus yang tersedia dalam aplikasi, bukan browser yang ditawarkan Apple untuk aplikasi pihak ketiga.

Padahal, mayoritas aplikasi menggunakan browser Safari untuk memuat situs web ketika mengklik tautan dalam aplikasi.

Pada peramban yang berbasis WebKit itu, Instagram dan Facebook disebut Krause menyematkan kode pelacakan JavaScript bernama "Meta Pixel" ke semua tautan dan situs web yang ditampilkan.

Dengan kode itulah perusahaan media sosial tersebut memiliki akses bebas untuk melacak interaksi pengguna tanpa perlu persetujuan tertentu.

"Ini memungkinkan Instagram memantau semua interaksi di situs web eksternal tanpa persetujuan dari pengguna atau penyedia situs web," kata Krause dikutip KompasTekno dari MacRumors, Senin (15/8/2022).

"Aplikasi Instagram menyuntikkan kode pelacakan ke setiap situs web yang ditampilkan, termasuk saat mengeklik iklan, memungkinkan mereka memonitor semua interaksi pengguna, seperti ketika setiap tombol dan tautan ditekan, opsi teks, screenshot, serta input form apa pun seperti kata sandi, alamat dan nomor kartu kredit," papar Krause.

Adapun menurut Meta sebagai induk Facebook dan Instagram, kode Meta Pixel dibuat untuk melacak aktivitas pengunjung di situs web, dengan memantau semua peristiwa yang dilakukan pengguna dalam browser yang dibuat khusus.

Kendati demikian, tidak akan bukti yang menunjukkan bahwa Meta secara aktif mengumpulkan data pengguna dari praktik itu.

"Apakah Facebook benar-benar mencuri kata sandi, alamat dan nomor kartu kredit saya? Tidak! Saya tidak memiliki bukti dan yang dilacak Instagram, tetapi ingin menunjukkan jenis data yang bisa mereka lacak tanpa Anda sadari," ujar Krause.

Terlepas dari tak adanya bukti, praktik ini tetap dinilai melanggar kebijakan Transparansi Pelacakan Aplikasi (App Tracking Transparency/ATT) Apple, yang mengharuskan semua aplikasi meminta persetujuan pengguna sebelum melakukan pelacakan di seluruh aplikasi dan situs web milik perusahaan lain.