A Meta e a Yandex foram recentemente acusadas de contornar os mecanismos de proteção de privacidade em dispositivos Android. As empresas terão associado utilizadores à sua atividade de navegação na web e aos respetivos cookies através das suas aplicações nativas, utilizando os conhecidos trackers Meta Pixel e Yandex Metrica. A técnica passava por explorar a função "localhost", presente em muitas aplicações Android nativas para fins de teste.
Após a divulgação de uma investigação por cientistas informáticos da IMDEA Networks, Radboud University e KU Leuven, o script associado a esta extração de dados e rastreio de utilizadores foi removido.
Como funcionava o esquema de rastreio?
O rastreio encoberto foi especificamente detetado nas aplicações Facebook e Instagram da Meta, bem como nas aplicações Maps e Browser da Yandex. Estas aplicações recorriam ao localhost – uma funcionalidade que permite a um dispositivo enviar um pedido de rede a si mesmo – como parte do método para associar dados de navegação às identidades dos utilizadores.
Segundo os investigadores, "Estas aplicações Android nativas recebem metadados dos navegadores, cookies e comandos dos scripts Meta Pixel e Yandex Metrica incorporados em milhares de websites. Estes JavaScripts são carregados nos navegadores móveis dos utilizadores e conectam-se silenciosamente com as aplicações nativas que correm no mesmo dispositivo através de sockets localhost."
Essencialmente, a Meta e a Yandex criaram uma brecha nas "sandboxes" (ambientes isolados de execução) do Android. Através desta falha, conseguiam extrair dados de websites e cookies, contornando as proteções de segurança e privacidade incorporadas no sistema. Posteriormente, associavam esses dados aos identificadores do dispositivo do utilizador, como a sua identidade numa aplicação da Meta ou o ID de Publicidade Android do utilizador.
Quais aplicações e navegadores foram afetados?
Os navegadores baseados em Firefox e Chromium foram os principais alvos desta extração de dados web. A Meta e a Yandex conseguiam, desta forma, extrair cookies que deveriam estar inacessíveis devido a mecanismos como a limpeza de cookies, a navegação em modo incógnito e o sistema de permissões de aplicações do Android.
Segundo os investigadores, a Yandex estaria a utilizar este método de rastreio encoberto desde 2017, enquanto a Meta o teria iniciado em setembro de 2024.
Empresas reagem às acusações
Questionado sobre este método de rastreio secreto pelo The Register, um porta-voz da Meta declarou: "Estamos em discussões com a Google para resolver um potencial erro de comunicação relativamente à aplicação das suas políticas. Ao tomarmos conhecimento das preocupações, decidimos pausar a funcionalidade enquanto trabalhamos com a Google para resolver o problema."
Por sua vez, um representante da Google afirmou ao Ars Technica: "Os programadores neste relatório estão a usar capacidades presentes em muitos navegadores no iOS e Android de formas não intencionais que violam flagrantemente os nossos princípios de segurança e privacidade". O representante referia-se aos programadores que criaram o código por detrás do Meta Pixel e do Yandex Metrica. "Já implementámos alterações para mitigar estas técnicas invasivas, abrimos a nossa própria investigação e estamos em contacto direto com as partes envolvidas", concluiu.
Nenhum comentário
Seja o primeiro!