Um grupo de pesquisadores descobre o sistema usado pelos aplicativos do Instagram e do Facebook desde setembro de 2024 para reunir o histórico da web de cada usuário em seus dispositivos Android.
O professor de privacidade e rastreamento on-line Gon Acar, da Universidade Radboud (Holanda), queria se divertir com os alunos de seu mestrado, então ele começou a procurar um exemplo curioso de rastreamento no site de sua universidade: ele sabia que a página tinha vários rastreadores, incluindo o Facebook. Mas de repente eu vi que havia uma conexão com uma porta local, isto é, para o meu próprio computador. Eu não entendi nada no início. Acar começou a procurar on-line no caso de outra pessoa ter notado. Ele encontrou alguns fóruns de desenvolvedores do Facebook onde eles reclamaram da mesma coisa. Mas o Facebook não respondeu, e então alguém acrescentou: “Eu não vejo mais isso”. Mas não é que o Facebook parou, eles apenas mudaram para outro método ainda mais escondido, diz Acar.
Acar consultou o caso com Narseo Vallina-Rodríguez, pesquisador da Imdea Networks e especialista em segurança e privacidade de aplicativos móveis. Mas como foi a sua primeira reacção. A Target poderia estar tentando algo novo para contornar as permissões de privacidade dos navegadores? Apenas ler o código não pôde ser encontrado. Eles tinham que tentar conexões entre páginas e o Facebook e o Instagram, Meta aplicativos, para ver o que realmente estava acontecendo: o Target estava vinculando as informações de seus aplicativos com a navegação de cada usuário, mesmo no modo de navegação anônima ou com VPN (software que permite ocultar a conexão de um usuário com a Internet). Os detalhes técnicos são explicados em uma página específica criada por acadêmicos.
O que vimos é que o site se comunica com o aplicativo móvel para trocar informações e identificadores, diz Vallina-Rodríguez. Isso significa que tudo isso faz parte de uma estratégia bem pensada para desencorajar o tráfego da web dos celulares Android. E como esse comportamento só é ativado quando os pedaços exatos de software são testados, tanto no aplicativo quanto no navegador, também é muito mais difícil de detectar, acrescenta ele.
Esta segunda-feira, o Meta desativou este sistema, pouco depois de vários meios de comunicação globais, incluindo o THE SAP, perguntarem à empresa sobre essa prática duvidosa: estamos conversando com o Google para esclarecer um possível mal-entendido sobre como suas políticas são implementadas. Assim que soubemos da preocupação, decidimos pausar a função enquanto trabalhávamos com o Google para resolver o assunto, diz um porta-voz da Meta. Por sua vez, as fontes do Google confirmam a seriedade do caso: os desenvolvedores mencionados neste relatório estão involuntariamente usando recursos presentes em muitos navegadores iOS e Android, o que viola flagrantemente nossos princípios de segurança e privacidade. Já implementamos mudanças para mitigar essas técnicas invasivas, abrimos nossa própria investigação e estamos em contato direto com as partes.
A Mozilla também está desenvolvendo uma solução para proteger os usuários do Firefox no Android diante desse novo tipo de rastreamento: acreditamos que isso viola seriamente nossas políticas anti-rastreamento, diz uma porta-voz da Mozilla Foundation. Os pesquisadores descobriram que aplicativos nativos do Android, como Facebook, Instagram e vários aplicativos Yandex, parecem estar abusando de permissões do sistema, juntamente com fragmentos de código on-line maliciosos scriptspara rastrear os usuários.
Desta vez eles já se foram.
O Google já está corrigindo seu navegador, o Chrome, então o Meta não pode aproveitar esse buraco. A vulnerabilidade afeta outros navegadores que operam no Android, como Firefox, Edge ou DuckDuckGo [após a publicação do artigo, uma porta-voz do DuckDuckGo disse que os rastreadores Meta não afetaram seu navegador, mas eles deveriam ter bloqueado especificamente o Yandex. Estamos investigando diferentes áreas como esta, mas desta vez eles passaram”, diz Acar. É algo que realmente surpreendeu as pessoas que foram muito experientes no setor de privacidade.
A Target estava usando esse método desde setembro de 2024. Poderia ter alguma coisa a ver com as alterações de cookies que o Google vem tentando implementar há anos? “Eles podem ter lançado esse novo método em reação a novas iniciativas que tentam limitar o rastreamento de terceiros em navegadores, como o Privacy Sandbox do Google, mas é apenas uma hipótese”, diz Vallina-Rodriguez.
Além da Meta, os investigadores também descobriram que a plataforma russa Yandex fez o mesmo desde 2017, sem que ninguém tivesse notado. O sistema Meta foi uma adaptação do que o Yandex já fez? É difícil dizer: A primeira versão deste sistema de comunicação Meta foi muito semelhante à do Yandex, porque ambas usavam conexões com a porta local, ou seja, para o próprio dispositivo do usuário. Depois, o Meta mudou para outros protocolos que são um pouco mais difíceis de detectar, explica Vallina-Rodriguez.
O funcionamento deste sistema exigia que o usuário fosse logado em seu aplicativo Instagram ou Facebook em seu dispositivo Android. Também exigiu que os sites tivessem o chamado Pixel Meta, um pequeno pedaço de código que permite o rastreamento. Esse pixel é cerca de 20% das páginas mais visitadas, incluindo algumas sensíveis como sites de conteúdo adulto. Quando um usuário visitou um determinado site, esse pixel gera um cookie, que é enviado para Meta. Mas agora, além disso, esse mesmo pixel abriu uma conexão com o aplicativo móvel, que vinculou esse cookie à sua identidade e o enviou de volta aos servidores Meta.
Esse cookie não permitia o rastreamento enquanto o usuário pulava entre os sites. Este método é tão intrusivo, novo e potencialmente ilegal. Para vincular os cookies à sua identidade, os rastreadores geralmente coletam seu nome ou hash do seu e-mail através de um formulário de registro nos sites onde há. Mas, neste caso, esses rastreadores não precisam fazer isso, porque os usuários já estão conectados no aplicativo do Facebook ou Instagram, diz Vallina-Rodríguez. Então, ao fazer essa conexão com a porta local do seu próprio celular, você pode pular todos os controles de privacidade do navegador, até mesmo o modo de navegação anônima, e associar seus cookies à sua identidade real.
A informação não inclui apenas as páginas visitadas, mas muitas das nossas ações nelas: olhe em detalhes para tudo o que você faz na web: se você está procurando um produto, se você a adicionar ao seu carrinho, se você fizer uma compra ou registro. Há muitos dados. Basicamente, toda vez que você faz algo, eles o enviam para o seu servidor. É muito mais do que apenas saber que você entrou na web, explica Acar.
(Elpais)