Je verwacht het niet: Instagram en Facebook kunnen al je webactiviteiten volgen in eigen browser

Heel veel apps werken met een in-app browser. Deze opent zodra je in de app op een linkje tikt die je buiten het oorspronkelijke platform brengt. Bijvoorbeeld een linkje in een Instagram Story, die je doorstuurt naar een webshop of een artikel van een nieuwswebsite. Of de bekende #linkinbio-hashtag, waarmee je vanuit een profiel door kan tikken om meer te lezen over een onderwerp van een Instagram-post. Veel apps gebruiken hiervoor Safari, de standaardbrowser van de iPhone en iPad. Apple biedt ontwikkelaars de mogelijkheid om een in-app versie van Safari te gebruiken (een soort lightversie), met de functies en bediening die je van Safari gewend bent. Maar er zijn ook ontwikkelaars en apps die liever een eigen versie bouwen en Instagram en Facebook zijn daar bekende voorbeelden van. En dat is niet zonder reden: beide apps kunnen met deze eigen in-app browser jouw surfgedrag nauwkeurig volgen, zo blijkt uit onderzoek. En dat gaat verder dan je denkt.

Instagram en Facebook volgen je via in-app browser

In de in-app browser is een stukje JavaScript-code ingebouwd genaamd de Meta Pixel. Misschien heb je wel eens gehoord van Facebook-pixels. Dat zijn onzichtbare stukjes code op een webpagina waarmee Facebook kan zien welke website je opent en hoe je de website gebruikt. Apple heeft allerlei maatregelen ingebouwd om dit soort tracking te voorkomen. Gebruikers moeten nu actief toestemming geven voor apptracking, voordat apps gebruikers op andere platformen kunnen volgen. Ook in Safari zijn allerlei privacymaatregelen toegevoegd. Vooral Meta (voorheen Facebook) was hier tegenstander van, omdat het bedrijf daarmee veel inkomsten misloopt. Daarom zoeken ze naar andere manieren om dergelijke tracking te omzeilen en is dus de Meta Pixel in de eigen in-app browser gemaakt.

De in-app browser van Instagram met optie om te schakelen naar Safari

Met deze Meta Pixel kunnen Instagram en Facebook alle interacties die je doet op een website via de eigen in-app browser volgen. Ze kunnen zien waar je tikt en scrollt en ook bekijken wat je qua tekst invoert. Op deze manier kan Instagram dus (in theorie) zien welke wachtwoorden je gebruikt als je deze handmatig invoert op een website in de in-app browser. Het goede nieuws is dat het kunnen inzien van je activiteiten alleen beperkt is tot de in-app browsers van de Instagram- en Facebook-app. Je bent dus veilig als je voor je gewone internetactiviteiten de standaardbrowsers gebruikt, zoals Safari of Chrome. Of als je natuurlijk helemaal geen Instagram of Facebook hebt.

Hoe je jezelf kan beschermen

Je herkent de in-app browser van Instagram aan de Instagram-achtige icoontjes onderaan het scherm en het grote kruis linksboven. De Safari-versie van de in-app browser gebruikt precies hetzelfde ontwerp als de gewone Safari-app en heeft onderaan een Safari-knop waarmee je kan overschakelen naar de volledige Safari-app.

Verschillen in-app browser van Instagram (links) vs Safari in-app browser

De meest logische manier om je eigen privacy te beschermen, is door geen gebruik meer te maken van de apps van Facebook en Instagram of om helemaal te stoppen met de sociale netwerken. Maar de webversies via de gewone browser zijn allesbehalve een fijne ervaring. Wil je wel de apps blijven gebruiken, open dan meteen de link in je eigen browser. Via het menu met de drie stipjes rechtsboven vind je een optie Openen in browser, waarmee de link in Safari (of een andere standaardbrowser die je ingesteld hebt) geopend wordt.

Meer over de technische achtergrond van deze manier van tracking vind je bij onderzoeker Felix Krause.

Bekijk ook

Reclametracking uitschakelen: voorkomen dat apps je volgen op iPhone en iPad

App Tracking Transparency (afgekort ATT) is een privacyfunctie op de iPhone, iPad en andere devices. Ontwikkelaars en adverteerders moeten daarbij toestemming vragen als ze je activiteit willen volgen in apps en websites van andere bedrijven.