A empresa russa Yandex já faz isso há anos.
Não espero que a Meta respeite meus dados ou minha privacidade, mas a empresa continua me surpreendendo com o quão baixo eles estão dispostos a ir em nome da coleta de dados. A notícia mais recente sobre isso nos chegou através de um relatório intitulado “Divulgação: Rastreamento Oculto de Web para Aplicativos via Localhost no Android”. Em resumo, a Meta e a Yandex (uma empresa de tecnologia russa) têm rastreado potencialmente bilhões de usuários do Android, explorando uma brecha de segurança no sistema operacional. Essa brecha permite que as empresas acessem dados de navegação de identificação do seu navegador, desde que você tenha os aplicativos Android delas instalados.
Como funciona esse rastreamento?
Como explica o relatório, o Android permite que qualquer aplicativo instalado com permissões de internet acesse o ” endereço de loopback ” ou localhost, um endereço que um dispositivo usa para se comunicar consigo mesmo. Por outro lado, seu navegador também tem acesso ao localhost, o que permite que JavaScripts incorporados em determinados sites se conectem a aplicativos Android e compartilhem dados de navegação e identificadores.
O que são esses JavaScripts, você pode perguntar? Neste caso, são o Meta Pixel e o Yandex Metrica, scripts que permitem que empresas rastreiem usuários em seus sites. Rastreadores são uma parte lamentável da internet moderna, mas o Meta Pixel só deveria ser capaz de rastrear você enquanto você navega na web. Esse loop permite que os scripts do Meta Pixel enviem seus dados de navegação, cookies e identificadores de volta para aplicativos Meta instalados, como Facebook e Instagram. O mesmo vale para o Yandex com seus aplicativos como Mapas e Navegador.
Você certamente não se inscreveu para isso quando instalou o Instagram no seu dispositivo Android. Mas, depois de fazer login, na próxima vez que você visitar um site que incorporou o Meta Pixel, o script transmitirá suas informações de volta para o aplicativo. De repente, o Meta passou a ter dados de navegação de identificação da sua atividade na web, não da navegação em si, mas do aplicativo “não relacionado” do Instagram.
Chrome, Firefox e Edge foram afetados por essas descobertas. O DuckDuckGo bloqueou alguns, mas não todos os domínios, então foi “minimamente afetado”. O Brave bloqueia solicitações ao host local se você não consentir, então ele protegeu os usuários desse rastreamento com sucesso.
Pesquisadores afirmam que o Yandex vem fazendo isso desde fevereiro de 2017 em sites HTTP e maio de 2018 em sites HTTPS. O Meta Pixel, por outro lado, não rastreia dessa forma há muito tempo: começou a rastrear HTTP apenas em setembro de 2024 e encerrou essa prática em outubro. Começou via Websocket e WebRTC STUN em novembro, e WebRTC TURN em maio.
Proprietários de sites aparentemente reclamaram com a Meta a partir de setembro, perguntando por que o Meta Pixel se comunica com o host local. Até onde os pesquisadores conseguiram apurar, a Meta nunca respondeu.
Os pesquisadores deixam claro que esse tipo de rastreamento é possível no iOS, já que os desenvolvedores podem estabelecer conexões com o host local e os aplicativos também podem “escutar”. No entanto, eles não encontraram evidências desse rastreamento em dispositivos iOS e levantam a hipótese de que isso tenha a ver com a forma como o iOS restringe os aplicativos nativos executados em segundo plano.
A Meta interrompeu oficialmente esse rastreamento
A boa notícia é que, até 3 de junho, os pesquisadores afirmam não ter observado o Meta Pixel se comunicando com o host local. O mesmo não foi dito sobre o Yandex Metrika, embora o Yandex tenha informado à Ars Technica que estava “descontinuando a prática”. A Ars Technica também relata que o Google abriu uma investigação sobre essas ações que “violam flagrantemente nossos princípios de segurança e privacidade”.
No entanto, mesmo que o Meta tenha interrompido esse rastreamento após o relatório, os danos podem ser generalizados. Conforme destacado no relatório, as estimativas indicam que a adoção do Meta Pixel está entre 2,4 milhões e 5,8 milhões de sites. A partir daí, os pesquisadores descobriram que pouco mais de 17.000 sites do Meta Pixel nos EUA tentam se conectar ao host local, e mais de 78% deles o fazem sem a necessidade de consentimento do usuário, incluindo sites como AP News, Buzzfeed e The Verge. São muitos sites que podem estar enviando seus dados de volta para seus aplicativos do Facebook e Instagram. O relatório apresenta uma ferramenta que você pode usar para procurar sites afetados, mas observa que a lista não é exaustiva e que a ausência não significa que o site seja seguro.
O Meta me enviou a seguinte declaração em resposta à minha solicitação de comentário: “Estamos em negociações com o Google para resolver uma possível falha de comunicação em relação à aplicação de suas políticas. Ao tomarmos conhecimento das preocupações, decidimos pausar o recurso enquanto trabalhamos com o Google para resolver o problema.”