Jens Büttner/dpa - Arquivo
MADRID 4 jun. (Portaltic/EP) -
Um grupo de pesquisadores concluiu que as empresas de tecnologia Meta e Yandex têm rastreado a navegação de usuários em dispositivos Android sem permissão, usando os scripts Pixel e Metrica para descobrir seus hábitos na Internet e associá-los a pessoas específicas, desanonimizando o tráfego da Web.
O método de rastreamento usado pela Meta e pela Yandex pode ter afetado "bilhões" de usuários ao explorar uma vulnerabilidade em aplicativos nativos do Android, como o Facebook e o Instagram, no caso da Meta, e o navegador ou o Maps, no caso da Yandex.
Isso porque a técnica utilizada permite que os aplicativos nativos recebam informações de navegação dos usuários por meio de conexões locais sem seu consentimento explícito, contornando mecanismos de privacidade como o modo incógnito, a exclusão de cookies ou até mesmo a navegação VPN.
Na verdade, esse método de rastreamento pode funcionar mesmo que o usuário não esteja conectado ao Facebook, Instagram ou Yandex em seus navegadores móveis, como explicou a organização de pesquisa IMDEA Networks em uma publicação no GitHub.
De acordo com os pesquisadores, o modus operandi baseia-se no fato de que os aplicativos nativos do Android recebem informações sobre a experiência do usuário na Internet, como metadados, cookies e comandos do navegador, dos scripts Meta Pixel e Yandex Metrica, que estão incorporados em milhares de sites.
Esses scripts são carregados nos navegadores móveis dos usuários e se conectam discretamente a aplicativos nativos executados no mesmo dispositivo por meio de soquetes locais. Esse é um ponto de comunicação que permite que os programas se comuniquem entre si, tanto localmente quanto em uma rede.
Além disso, os aplicativos nativos do Android têm acesso a identificadores de dispositivos, como o Android Advertising ID (AAID), ou gerenciam identidades de usuários, como as redes sociais do Meta. Portanto, as empresas podem vincular sessões de navegação e cookies da Web obtidos com identidades de usuários.
Ou seja, quando um usuário visita uma página da Web que contém o script Meta Pixel ou Yandex Metrica de um navegador em seu dispositivo Android, o script envia informações sobre sua atividade, como cookies, para aplicativos nativos no dispositivo.
Esse processo de desanonimização das visitas a sites é possível no Android porque seu sistema operacional permite que qualquer aplicativo instalado com permissão INTERNET abra um soquete de escuta na interface de loopback (127.0.0.1), bem como soquetes TCP (HTTP) ou UDP (WebRTC), detalharam os pesquisadores. Os navegadores também acessam essa interface sem o consentimento do usuário.
Isso permite que os scripts se comuniquem com aplicativos nativos do Android e compartilhem todos os tipos de informações de forma oculta, resultando em um abuso da privacidade do usuário pela Meta e pela Yandex, permitindo que a atividade dos usuários na Web seja vinculada às suas identidades.
Especificamente, essas atividades foram identificadas em uma pesquisa conduzida em conjunto pela organização de Análise da Internet da IMDEA Networks, liderada pelo professor da IMDEA Narseo Vallina-Rodríguez, bem como pelo professor Gunes Acar da Radboud University (Holanda) e pelo professor Tim Vlummens da Catholic University of Leuven (Bélgica).
Da mesma forma, com base nessa análise da atividade do Meta, a empresa de tecnologia garantiu que o script do Meta Pixel parou de enviar pacotes ou solicitações para o endereço local em seus aplicativos, o que significa que o proprietário do Facebook parou de rastrear a atividade de navegação.
No entanto, deve-se observar que essas técnicas de rastreamento ainda podem ser usadas por outras empresas ou agentes mal-intencionados. Além disso, elas também podem levar à exposição do histórico de navegação dos usuários a terceiros.
RASTREAMENTO DE NAVEGAÇÃO DESDE 2017
Conforme detalhado na investigação, a empresa de tecnologia russa tem usado essa técnica para rastrear a navegação dos usuários desde 2017. Da mesma forma, no caso da Meta, a empresa liderada por Mark Zuckerberg começou a usar esse método em setembro de 2024.
Além disso, de acordo com os dados fornecidos pelo site de monitoramento BuiltWith, o script Meta Pixel está instalado em mais de 5,8 milhões de sites, enquanto o Yandex Metrica foi identificado em cerca de 3 milhões de sites.
Até o momento, essa técnica só foi identificada nos scripts da Web do Meta e do Yandex, que são direcionados exclusivamente para celulares Android, embora a organização tenha esclarecido que não se pode descartar um compartilhamento de dados semelhante entre navegadores iOS e aplicativos nativos.
REVISÃO DO GERENCIAMENTO DE ACESSOS A PORTAS LOCAIS
A IMDEA Networks enfatizou que esse método de rastreamento "aproveita o acesso irrestrito a soquetes locais em plataformas Android", sem que o usuário esteja ciente disso, pois "os controles de privacidade atuais são insuficientes para controlar e mitigar isso".
Por esse motivo, eles compartilharam a necessidade de trabalhar em soluções de longo prazo para gerenciar o acesso a portas locais, alertando os usuários em caso de tentativas de acesso ou com políticas de plataforma mais rígidas acompanhadas de medidas de conformidade para evitar o uso indevido.
Esta notícia foi traduzida por um tradutor automático