ウォール・ストリート・ジャーナルの調査によると、Googleと少なくとも他の3つの小規模ウェブ広告ネットワーク(Vibrant Media、Media Innovation Group、Gannett PointRoll)が、ユーザーが開始したフォーム送信であるかのように広告を偽装するコードを使用して、Safariブラウザのプライバシー設定を意図的に上書きしていたという。
Safari のデフォルト設定では、「サードパーティおよび広告主からの」Cookie がブロックされます。この設定は、ユーザーが直接やりとりしているサイトのみが Cookie (リモート Web サーバーが後でアクセスできるクライアント側のデータ) を保存できるようにするはずです。
Google などの広告主は、広告を掲載するさまざまなウェブサイトでのユーザーの閲覧習慣を追跡できるように、ユーザーのブラウザに Cookie を保存します。この設定は、これらの「サードパーティ」 Cookie を明示的にブロックするように設計されているものです。
報告書は、「Googleは一部の広告に、ユーザーが目に見えないフォームをGoogleに送信しているとSafariに思わせるコードを追加した。Safariはその後、Googleが携帯電話やコンピュータにCookieをインストールできるようにした」と指摘している。
クッキーは1~2日で期限切れとなるように設定されていたが、報告書では「Safariの技術的な欠陥」により「企業が少なくとも1つのクッキーをインストールすると、ユーザーのコンピューターに簡単にクッキーを追加できる」ようになり、「Safariユーザーの徹底的な追跡」が可能になると述べている。
Safariブラウザのプライバシー設定に関するGoogleのハッキングは、スタンフォード大学の研究者ジョナサン・メイヤー氏によって発見され、「ウォール・ストリート・ジャーナルの技術顧問アシュカン・ソルタニ氏によって独自に確認された」。同サイトは、デスクトップユーザーとiOSユーザーの両方を対象に、ウェブ上のトップ100サイトの約3分の1の追跡を可能にするGoogleの回避コードを発見したとソルタニ氏が報じている。
ウォール・ストリート・ジャーナルは、Google の YouTube、Aol、About.com、Comcast、NYTimes、YellowPages.com、Match.com、Fandango など、さまざまな大手ウェブサイトが Google の回避コードの検査で陽性反応を示したと報じたが、サードパーティのウェブ広告ネットワークとして Google が自社のページに配置していた「コードをこれらのサイトが知っていたことを示す兆候はない」と指摘した。
報道によると、YellowPages.com を運営する AT&T の広報担当者マイケル・バルモリス氏は、「当社はこのような行為を認識していなかった」とし、「決して容認しない」と述べたという。
また、匿名のアップルの「関係者」は、グーグルなどの広告主によるサファリのプライバシー設定の回避を「阻止すべく取り組んでいる」と述べている。
グーグル自身も声明を発表し、 「ウォール・ストリート・ジャーナルは何が起こったのか、そしてなぜ起こったのかを誤解している。我々は、Googleにログインしたユーザーが有効にした機能を提供するために、Safariの既知の機能を利用した。これらの広告クッキーは個人情報を収集するものではないことを強調しておくことが重要だ」と述べた。
更新: GoogleはAppleInsiderに連絡し、同社のコミュニケーションおよび公共政策担当上級副社長、レイチェル・ウェットストーン氏の以下のコメントを共有した。
ジャーナルは、何が起こったのか、そしてなぜ起こったのかについて、誤った解釈をしています。Googleにログインしたユーザーが有効にした機能を提供するために、Safariの既知の機能を使用しました。これらの広告Cookieは個人情報を収集するものではないことを強調しておきます。AppleのSafariブラウザは、他の主要ブラウザとは異なり、デフォルトでサードパーティCookieをブロックします。ただし、Safariは「いいね!」ボタンなど、サードパーティやサードパーティCookieに依存する多くのウェブ機能をユーザー向けに有効にしています。昨年、この機能を利用して、Safariでログインし、パーソナライズされた広告やその他のコンテンツの表示を希望するGoogleユーザー向けに、興味のあるものを「+1」する機能などの機能を提供し始めました。
これらの機能を有効にするため、SafariブラウザとGoogleのサーバー間に一時的な通信リンクを作成しました。これにより、SafariユーザーがGoogleにもログインし、この種のパーソナライズを選択したかどうかを確認できました。ただし、このリンクはユーザーのSafariブラウザとGoogleのサーバー間でやり取りされる情報が匿名になるように設計されており、ユーザーの個人情報と閲覧するウェブコンテンツの間に実質的に障壁が設けられています。
しかし、Safariブラウザには、他のGoogle広告Cookieをブラウザに設定できる機能が含まれていました。このような事態は想定外であったため、Safariブラウザからこれらの広告Cookieの削除を開始しました。他のブラウザと同様に、これらの広告Cookieは個人情報を収集するものではないことを強調しておきます。
Internet Explorer、Firefox、Chromeのユーザーには影響はありません。また、Googleの広告設定マネージャを使用して当社の興味関心に基づく広告プログラムをオプトアウトしているブラウザ(Safariを含む)のユーザーにも影響はありません。
グーグルと同様の戦略を使っている別のウェブ広告主であるバイブラント・メディアは、この迂回策を「Safariを他のすべてのブラウザと同じように動作させる」ことを意図した「回避策」と呼んだ。グーグル自身のChromeや、ほぼ全面的にグーグルの資金で運営されているモジラ・ファイアフォックスなど、他の主要ブラウザはデフォルトでサードパーティのクッキーによる追跡をブロックしないからだ。
Googleは既にプライバシーポリシーに関して政府の監視を受けている。昨年、米国連邦取引委員会との和解において、同社は顧客に対してプライバシー慣行を「虚偽表示」しないこと、また違反1件につき1日1万6000ドルの罰金を支払うことに同意した。
しかし、Googleは自社のオンラインプライバシーガイドの中で、Safariユーザーに対し、広告Cookieをオプトアウトするために何かを行う必要はないと説明している。その理由は、「SafariはデフォルトですべてのサードパーティCookieをブロックするように設定されています。これらの設定を変更していない場合は、このオプションで実質的に同じ効果が得られます」としている。
Google はその後、その文言をサイトから削除し、ウォール・ストリート・ジャーナルからの連絡を受けて、Safari のプライバシー設定を回避するために追跡コードを無効にしたとも報じられている。
