Meta a abuzat de protocoalele web pentru a urmări și identifica utilizatorii

Gigantul american Meta se confruntă cu acuzații grave după ce a fost prins folosind metode ascunse pentru a urmări utilizatorii Android, chiar și atunci când aceștia navigau aparent anonim, în modul incognito al browserului. Tehnicile folosite au implicat manipularea unor protocoale web legitime, transformate în instrumente de colectare a datelor fără consimțământul utilizatorilor.

Cum a fost deturnată infrastructura standard a web-ului

La baza schemei puse la punct de inginerii Meta a stat modificarea comportamentului scriptului Meta Pixel, un fragment de cod integrat pe multe site-uri pentru a permite companiilor să urmărească interacțiunile utilizatorilor cu paginile respective. Însă, într-un gest controversat, acest script a fost adaptat pentru a trimite datele de navigare colectate în browserul Chrome — și alte browsere de pe Android — direct către aplicațiile native deținute de Meta, cum ar fi Facebook și Instagram.

Pentru a face acest lucru posibil, Meta a exploatat o serie de protocoale considerate legitime în arhitectura internetului: HTTP, WebRTC și WebSocket. Prin intermediul acestora, datele de trafic care ar fi trebuit să rămână anonime au fost interceptate și redirecționate către aplicațiile native instalate pe telefonul utilizatorului. La capătul celălalt al conexiunii, aplicațiile respective “ascultau” pasiv traficul local, analizând pachetele de date care circulau prin localhost – o zonă din rețeaua internă a dispozitivului, considerată de regulă sigură și izolată.

De ce a funcționat doar pe Android și nu pe iPhone

Un aspect esențial al acestei breșe de confidențialitate este că tactica nu a funcționat pe iPhone, iar explicația ține de modul în care Apple izolează accesul la rețea între aplicații. Pe Android, sistemul de operare permite aplicațiilor un acces mai permisiv la localhost, ceea ce a permis aplicațiilor Meta să intercepteze traficul generat de browser. Pe iOS, în schimb, sandbox-ul fiecărei aplicații este mai strict, iar astfel de „scurtături” între aplicații și trafic local nu sunt posibile.

Prin acest truc tehnic, Meta a reușit să coreleze identitatea unui utilizator autentificat în Facebook sau Instagram cu activitatea sa din browser, inclusiv în modul incognito. Asta înseamnă că simpla navigare anonimă pe un site care includea Meta Pixel nu mai era cu adevărat anonimă, dacă pe același telefon era activă aplicația Facebook sau Instagram.

O încălcare sistematică a intimității online

Potrivit investigației, Meta a colectat astfel date de trafic fără consimțământul utilizatorilor pe peste 75% dintre cele mai vizitate 100.000 de site-uri din lume. Impactul este semnificativ, în condițiile în care acest gen de urmărire nu poate fi prevenit prin mijloace obișnuite, cum ar fi folosirea modului privat/incognito sau blocarea cookie-urilor.

Este o tactică care a mers mult mai departe decât simpla urmărire comportamentală pe care Meta o practică de ani buni prin instrumente precum Facebook Pixel. În acest caz, vorbim de o infiltrare a infrastructurii locale a telefonului și de comunicare între aplicații care nu a fost autorizată sau vizibilă pentru utilizator, lucru care ridică întrebări serioase în materie de securitate și respectarea reglementărilor privind protecția datelor.

Reacția Google și precedentul Yandex

Ca reacție la această descoperire, Google a anunțat că investighează în profunzime această metodă și a promis lansarea unor actualizări pentru browserul Chrome pe Android care să blocheze definitiv astfel de tactici. Este de așteptat ca viitoarele versiuni ale browserului să limiteze sau să izoleze mai strict accesul la localhost și traficul generat între aplicații și web.

În mod îngrijorător, Meta nu este singura companie care a recurs la astfel de practici. Yandex, gigantul online rusesc, a fost de asemenea identificat cu o metodă tehnologică similară, cu același rezultat: urmărirea utilizatorilor dincolo de limitele asumate de browser.

Acest episod readuce în prim-plan discuția despre nevoia de control mai strict asupra modului în care aplicațiile mobile interacționează cu restul ecosistemului digital. Chiar dacă tehnologia evoluează, normele de etică, transparență și consimțământ nu ar trebui să fie facultative — nici măcar pentru cei mai mari jucători din industrie. Iar când acești jucători trec dincolo de limitele acceptate, consecințele ar trebui să nu întârzie să apară.