Felix Krause descobriu que esses aplicativos estão injetando um código JavaScript chamado Meta Pixel, permitindo o monitoramento de todas as interações do usuário como botões, links, seleção de texto, capturas de tela, formulários, senhas, endereços e cartões de crédito.
Na fonte, Krause dá uma explicação detalhada sobre o código.
esse "In App Browser" é uma maneira de abrir rapidamente uma janela para exibir um conteúdo web sem tirar você de dentro do aplicativo (afinal, não queremos que o usuário vá embora), de fato não são lá muito seguros. como dono da aplicação você consegue facilmente injetar qq coisa, javascript, css, até manipular o DOM.
Meta Pixel
Não seria isso um Pixel Tracking?
Pela descrição, é quase a mesma coisa, eu acho.
Pablo, pelo que eu entendi, eles não estão injetando uma imagem e sim injetando código JavaScript. Isso dá a habilidade de inclusive ler o que você está digitando caso abra a página por aquele navegador interno do app.