A Meta e a empresa russa Yandex foram flagradas explorando uma vulnerabilidade no Android para realizar o rastreamento cruzado de usuários através da interface localhost.
Esse método foi descoberto por uma pesquisa europeia, a qual apontou que tanto o Facebook quanto o Instagram utilizavam scripts para obter dados dos navegadores, inclusive em modo de navegação anônima.
Após a publicação dos resultados dessa pesquisa, a Meta desativou a funcionalidade responsável pelo envio dessas informações, enquanto o Google e outros navegadores implementaram medidas de proteção.
De acordo com o estudo, divulgado por pesquisadores do Instituto IMDEA Networks, na Espanha, e da Universidade Radboud, na Holanda, Meta e Yandex aproveitaram uma brecha no Android para monitorar as atividades online dos usuários, mesmo aqueles que supunham estar protegidos por medidas de privacidade.
A vulnerabilidade está no modo como o Android lida com a interface “localhost”, uma forma de conexão que normalmente é usada para que um dispositivo se comunique internamente, frequentemente empregada por desenvolvedores durante o teste de aplicativos.
O mecanismo de rastreamento operava da seguinte maneira: a "falha" no Android reside na permissão concedida a qualquer aplicativo, com autorização para acessar a internet, de abrir um servidor local na interface de loopback, conhecida por localhost (com endereço 127.0.0.1).
Embora este recurso devesse ser limitado à comunicação entre componentes do próprio aplicativo, ele pode ser acessado por outros aplicativos ou pelos navegadores, sem demandar permissões adicionais ou o consentimento do usuário.
Esse procedimento representa um risco aumentado porque o JavaScript executado em sites também pode se conectar ao localhost.
Assim, um aplicativo como o Facebook pode iniciar um serviço local, e o código JavaScript da Meta, embutido em qualquer página, acessa esse serviço para transmitir dados do navegador - como cookies e fingerprints - diretamente para o aplicativo.
Os pesquisadores identificaram que o Facebook, Instagram e vários aplicativos da Yandex, que opera o principal motor de busca da Rússia, exploravam essa lacuna monitorando portas específicas no Android.
Essa técnica permitia o rastreamento cruzado dos usuários entre a web e os aplicativos por meio da identificação de scripts do Meta Pixel ou do Yandex Metrica em sites visitados.
Tais scripts enviavam informações, como cookies e identificadores, diretamente para os aplicativos nativos através do localhost, contornando o modo anônimo e algumas camadas de segurança do Android.
Embora limitado a determinados sites, o problema torna-se amplificado pela presença dos scripts do Meta Pixel em mais de 5,8 milhões de websites, e os do Yandex Metrica em quase 3 milhões.
Quanto aos dispositivos da Apple, a pesquisa não constatou práticas semelhantes nos navegadores e aplicativos do iPhone, que também foram examinados, embora os pesquisadores tenham destacado a possibilidade técnica de ocorrer algo parecido, visto que os navegadores no iOS são fundamentados no WebKit e também permitem conexões localhost.
Apesar das empresas citadas terem sido notificadas, o estudo ainda aguarda revisão por pares.
Em resposta, a Meta já atuou desativando a funcionalidade e removendo grande parte do código responsável pelo envio dos dados.
Já o Google e outros navegadores, como Brave e DuckDuckGo, tomaram medidas preventivas.
A Yandex defende que a funcionalidade em questão não coleta informações sensíveis, visando apenas aprimorar a personalização em seus aplicativos, conforme comunicado à Ars Technica.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...