Meta o lasă mai moale cu spionatul pe Android – Motivul deciziei, de ce s-a răzgândit

Meta a decis să suspende temporar o metodă controversată de urmărire a utilizatorilor pe dispozitivele Android, după ce un grup de cercetători în securitate cibernetică a dezvăluit că aceasta permitea companiei să asocieze datele de navigare web cu identitatea utilizatorilor într-un mod ce ocolea protecțiile standard de confidențialitate.

Cum funcționa tehnologia de urmărire pe Android

Potrivit unui raport publicat recent de cercetători de la IMDEA Networks (Spania), Radboud University (Olanda) și KU Leuven (Belgia), Meta, împreună cu motorul de căutare rus Yandex, utilizau aplicații native de Android pentru a asculta pe anumite porturi locale, cunoscute sub denumirea de localhost, scrie publicația The Register.

Această metodă le permitea să primească date de urmărire, precum cookie-uri și metadate de navigare, direct de la scripturi JavaScript care rulează în browserele utilizatorilor pe același dispozitiv.

Localhost este o adresă de tip „loopback” folosită în mod normal pentru testarea aplicațiilor locale, permițând dispozitivului să trimită cereri către el însuși. În acest caz, aplicațiile Meta și Yandex au creat servicii care ascultau tăcut aceste porturi pentru a colecta datele generate în browser.

Astfel, când un utilizator își deschidea aplicația Facebook sau Instagram, aceasta crea în fundal un serviciu care asculta traficul primit pe anumite porturi TCP și UDP.

Ulterior, când utilizatorul accesa un site web ce integra Meta Pixel, un script folosit de comercianți pentru analiza traficului și interacțiunilor, date precum cookie-ul _fbp erau transmise de script direct aplicației native, prin canale precum WebRTC și metode complexe de manipulare a protocoalelor de comunicare (SDP munging).

Concret, procesul lega activitatea de navigare pe web cu contul de utilizator Meta, chiar dacă utilizatorul folosea moduri de protecție a confidențialității, cum ar fi modul incognito sau curățarea cookie-urilor.

Reacții și implicații pentru confidențialitate

După ce cercetătorii au făcut publică această practică, Meta a încetat să mai trimită date către localhost, iar codul responsabil a fost aproape complet eliminat din scripturile Meta Pixel.

Un reprezentant Meta a declarat că discută cu Google pentru clarificarea politicilor Play Store, care interzic colectarea ascunsă de date, și că funcția a fost suspendată până la rezolvarea situației.

Browser-ele populare au început să implementeze contramăsuri pentru a bloca această tehnică de urmărire. Chrome 137, lansat la sfârșitul lunii mai 2025, include protecții împotriva metodei SDP munging, deocamdată disponibilă doar pentru un grup restrâns de utilizatori în cadrul unui test.

Mozilla Firefox lucrează la o soluție similară, în timp ce browser-ele Brave și DuckDuckGo au introdus deja mecanisme pentru a bloca astfel de scripturi.

Cercetătorii au propus ca sistemul Android să introducă o nouă permisiune specifică „local network access” (acces la rețeaua locală) pentru a preveni abuzurile viitoare ale porturilor localhost, protejând astfel mai bine confidențialitatea utilizatorilor.