Cercetătorii au descoperit că Meta și compania rusească Yandex utilizează cod de urmărire integrat pe milioane de site-uri web pentru a de-anonimiza vizitatorii, exploatând protocoale legitime de internet. Această practică transformă identificatorii web temporari în identități persistente ale utilizatorilor de aplicații mobile.
Meta Pixel și Yandex Metrica, scripturile de analiză folosite pe scară largă de ambele companii, reușesc să ocolească măsurile de securitate ale sistemului Android și ale browserelor precum Chrome. Astfel, datele despre vizitele web sunt transmise către aplicațiile native de pe dispozitiv, inclusiv Facebook, Instagram și diverse aplicații Yandex.
Un exemplu clar al acestui abuz este folosirea unor porturi locale pe Android (127.0.0.1), pe care aplicațiile le monitorizează constant. Browserul trimite date către aceste porturi, iar aplicațiile le pot citi și lega identitatea web de utilizatorul conectat. Potrivit echipei de cercetare, Meta Pixel a început această practică în septembrie anul trecut, iar Yandex Metrica folosește tehnici similare încă din 2017.
Google a confirmat că investighează comportamentul raportat, catalogându-l drept o „încălcare flagrantă” a principiilor de securitate și confidențialitate. „Dezvoltatorii folosesc capabilități prezente în multe browsere într-un mod care violează clar politicile noastre de securitate și confidențialitate”, a transmis un reprezentant Google.
Meta a comunicat că funcționalitatea a fost suspendată temporar, în timp ce discută cu Google pentru a clarifica interpretarea regulilor. De cealaltă parte, Yandex a declarat că nu de-anonimizează datele utilizatorilor și că a oprit practica, menționând că scopul era personalizarea experienței în aplicații.
Practica de de-anonimizare folosește protocoale precum WebSocket, HTTP și WebRTC. Meta Pixel folosește tehnici precum SDP munging, o metodă prin care JavaScript modifică datele din protocolul de comunicare înainte de a fi transmise. Aceasta permite inserarea cookie-urilor de urmărire (_fbp) în câmpuri destinate conexiunilor audio/video, date care sunt interceptate de aplicațiile mobile.
Unele browsere Android, precum DuckDuckGo și Brave, au implementat deja liste negre și restricții pentru a bloca această comunicare. Vivaldi permite blocarea manuală a trackerilor, în timp ce Chrome a implementat recent măsuri suplimentare de protecție. Totuși, cercetătorii avertizează că aceste soluții sunt parțiale și pot fi ușor ocolite.
„Singura soluție reală ar fi ca Android să controleze mai strict accesul la porturile locale”, a explicat Narseo Vallina-Rodriguez, unul dintre cercetători. În prezent, Android nu oferă utilizatorilor posibilitatea de a restricționa aceste canale de comunicare.
Meta Pixel și Yandex Metrica sunt estimate să fie prezente pe aproximativ 5,8 milioane și, respectiv, 3 milioane de site-uri web. Această amploare ridică semne de întrebare serioase privind protecția datelor și confidențialitatea online.
Pentru utilizatorii preocupați de confidențialitate, recomandarea cercetătorilor este să evite instalarea aplicațiilor Facebook, Instagram și Yandex pe dispozitivele Android. De asemenea, utilizarea browserelor cu protecție anti-tracking mai strictă poate reduce riscul de de-anonimizare a datelor de navigare.
