FBとInstagram、他社ウェブサイトに無断でコード挿入しユーザーを追跡

iOSデバイス上のInstagramおよびFacebookアプリが、ユーザーがアプリ内のリンクをクリックした後、ユーザーが訪れたウェブサイトを書き換え、ウェブでの行動をトラッキング(追跡)していたことが、元Googleエンジニアの調査により明らかになった。

FBとInstagram、他社ウェブサイトに無断でコード挿入しユーザーを追跡
Photo by Diana Polekhina 

iOSデバイス上のInstagramおよびFacebookアプリが、ユーザーがアプリ内のリンクをクリックした後、ユーザーが訪れたウェブサイトを書き換え、ウェブでの行動をトラッキング(追跡)していたことが、元Googleエンジニアの調査により明らかになった。

2017年にGoogleが買収したアプリ開発ツールを設立したプライバシー研究者のFelix Krause(フェリックス・クラウス)の分析によると、MetaのiOS向けInstagramおよびFacebookアプリケーションは、アプリ内ブラウザを通じて外部WebサイトにJavaScriptコードを注入することで、これらのページを独立したブラウザで読み込んだ場合には得られない個人情報を取得している。

コード挿入はアプリ内ブラウザの仕様を活用したものだ。アプリ内ブラウザは、WebViewによってAndroidおよびiOSに実装されており、この仕様はFacebookやInstagramのアプリのユーザーが、アプリを終了してブラウザを開くことなくウェブサイトを操作できるようにする。

クラウスは、ブラウザによってウェブサイトに追加された余分なコマンドをリストアップできるツールを構築して、このコード挿入を発見した。通常のブラウザやほとんどのアプリでは、このツールは何も検出しないが、FacebookとInstagramでは、アプリによって追加された最大18行のコードが検出された。

コードは、特定のクロス・プラットフォームのトラッキング・キットをスキャンするように見える。トラッキング・キットがインストールされていない場合、代わりにMeta Pixel(Meta独自のWebトラッキングツール)を呼び出すようだ。

ホストアプリは、ウェブサイト上で起こっている、すべてのタップ、入力、スクロール動作、どのコンテンツがコピー&ペーストされたか、さらにオンライン購入のようなデータも追跡することができる、とクラウスはブログ記事で説明している。

クラウスはアプリ内ブラウザにおけるコード挿入によって生じる様々なセキュリティとプライバシーに関する懸念を指摘している。ユーザーの認証情報、物理的な住所、APIキーなどの盗用のリスクがある。ホストアプリが遷移先のウェブサイトに広告を挿入することが可能になってしまう恐れもあるという。幸運なことに現状、Metaの注入されたスクリプト(pcm.js)がそのようなことをする兆候はないようだ。

「これらの主張は、Metaのアプリ内ブラウザとPixelがどのように機能するかを誤って伝えています。私たちは意図的にこのコードを開発し、私たちのプラットフォームにおける人々のApp Tracking Transparency(ATT)の選択を尊重するようにしました。私たちはこのことを研究者に伝えました」とMetaのコミュニケーションディレクター、アンディストーンは、Twitterで述べている。

Appleが昨年導入した、広告関連のトラッキングにユーザーの同意を求めるプライバシー機能「App Tracking Transparency(ATT)」によってMetaは2022年にメタは100億ドルのキャッシュフローを失うと主張している。コード挿入はATTで失われたユーザー・データを補填する正当な方法で、ATTを尊重したものだ、というのが8月11日時点でのFB側の反論の論旨だ。

広告IDをめぐるAppleとFBの応酬の経緯とその背景
ATTの導入で最も困るのはFacebookではなく、Audience Networkやその他のアドテク業者からの広告出稿で収益を得ている、中小のゲームデベロッパーたちだ。
iOS 14.5のトラッキング許可はFacebookを殺さない
Appleのトラッキング許可に関する規定は、Facebookのデジタル広告の城の一角に損失を与えることは確かだ。しかし、本丸は揺るがないだろう。苦しくなるのは独立系の広告技術企業だ。期せずしてビッグテックがスモールプレイヤーを押し出すのを加速させている。

ATT導入以降、Metaの広告主の間で、コンバージョン計測の遅延への不満が上がり、Web側の計測をGoogle Analyticsで補填する戦術などが広まることがあったが、Metaはそれを補填する様々な手法を広告主に対して提案していた。もしかしたら、その一つとして、この下品なコード挿入も生まれた可能性がある。

Microsoft Edgeパートナープログラム・マネージャーのアレックス・ラッセル(Alex Russell)は、Twitterで「FBのアプリ内ブラウザに関する本当のスキャンダルは、余分な追跡ではなく、ブラウザの選択を覆すことです。これは全くの偶然だと思いますが、実際のブラウザが適用する可能性のあるトラッカーブロッカーを解除する効果もあります」と主張している。

Read more

新たなスエズ危機に直面する米海軍[英エコノミスト]

新たなスエズ危機に直面する米海軍[英エコノミスト]

世界が繁栄するためには、船が港に到着しなければならない。マラッカ海峡やパナマ運河のような狭い航路を通過するとき、船舶は最も脆弱になる。そのため、スエズ運河への唯一の南側航路である紅海で最近急増している船舶への攻撃は、世界貿易にとって重大な脅威となっている。イランに支援されたイエメンの過激派フーシ派は、表向きはパレスチナ人を支援するために、35カ国以上につながる船舶に向けて100機以上の無人機やミサイルを発射した。彼らのキャンペーンは、黒海から南シナ海まですでに危険にさらされている航行の自由の原則に対する冒涜である。アメリカとその同盟国は、中東での紛争をエスカレートさせることなく、この問題にしっかりと対処しなければならない。 世界のコンテナ輸送量の20%、海上貿易の10%、海上ガスと石油の8~10%が紅海とスエズルートを通過している。数週間の騒乱の後、世界の5大コンテナ船会社のうち4社が紅海とスエズ航路の航海を停止し、BPは石油の出荷を一時停止した。十分な供給があるため、エネルギー価格への影響は軽微である。しかし、コンテナ会社の株価は、投資家が輸送能力の縮小を予想している

By エコノミスト(英国)
新型ジェットエンジンが超音速飛行を復活させる可能性[英エコノミスト]

新型ジェットエンジンが超音速飛行を復活させる可能性[英エコノミスト]

1960年代以来、世界中のエンジニアが回転デトネーションエンジン(RDE)と呼ばれる新しいタイプのジェット機を研究してきたが、実験段階を超えることはなかった。世界最大のジェットエンジン製造会社のひとつであるジー・エアロスペースは最近、実用版を開発中であると発表した。今年初め、米国の国防高等研究計画局は、同じく大手航空宇宙グループであるRTX傘下のレイセオンに対し、ガンビットと呼ばれるRDEを開発するために2900万ドルの契約を結んだ。 両エンジンはミサイルの推進に使用され、ロケットや既存のジェットエンジンなど、現在の推進システムの航続距離や速度の限界を克服する。しかし、もし両社が実用化に成功すれば、超音速飛行を復活させる可能性も含め、RDEは航空分野でより幅広い役割を果たすことになるかもしれない。 中央フロリダ大学の先端航空宇宙エンジンの専門家であるカリーム・アーメッドは、RDEとは「火を制御された爆発に置き換える」ものだと説明する。専門用語で言えば、ジェットエンジンは酸素と燃料の燃焼に依存しており、これは科学者が消炎と呼ぶ亜音速の反応だからだ。それに比べてデトネーシ

By エコノミスト(英国)
ビッグテックと地政学がインターネットを作り変える[英エコノミスト]

ビッグテックと地政学がインターネットを作り変える[英エコノミスト]

今月初め、イギリス、エストニア、フィンランドの海軍がバルト海で合同演習を行った際、その目的は戦闘技術を磨くことではなかった。その代わり、海底のガスやデータのパイプラインを妨害行為から守るための訓練が行われた。今回の訓練は、10月に同海域の海底ケーブルが破損した事件を受けたものだ。フィンランド大統領のサウリ・ニーニストは、このいたずらの原因とされた中国船が海底にいかりを引きずった事故について、「意図的なのか、それとも極めて稚拙な技術の結果なのか」と疑問を呈した。 海底ケーブルはかつて、インターネットの退屈な配管と見なされていた。現在、アマゾン、グーグル、メタ、マイクロソフトといったデータ経済の巨人たちは、中国と米国の緊張が世界のデジタルインフラを分断する危険性をはらんでいるにもかかわらず、データの流れをよりコントロールすることを主張している。その結果、海底ケーブルは貴重な経済的・戦略的資産へと変貌を遂げようとしている。 海底データパイプは、大陸間インターネットトラフィックのほぼ99%を運んでいる。調査会社TeleGeographyによると、現在550本の海底ケーブルが活動

By エコノミスト(英国)