No espero que Meta respete mis datos o mi privacidad, pero la compañía continúa sorprendiéndome con lo bajos que están dispuestos a ir en nombre de la recopilación de datos. La última historia de este tipo nos llega de un informe titulado “Divulgación: seguimiento de web a aplicación encubierta a través de Localhost en Android”. En resumen, Meta y Yandex (una compañía de tecnología rusa) han estado rastreando potencialmente miles de millones de usuarios de Android al abusar de una laguna de seguridad en Android. Esa Loophole permite a las compañías acceder a la identificación de datos de navegación desde su navegador web siempre que tenga instaladas sus aplicaciones Android.
¿Cómo funciona este seguimiento?
Como explica el informe, Android permite que cualquier aplicación instalada con permisos de Internet acceda a la “dirección de bucle de bucle” o localhost, una dirección que un dispositivo utiliza para comunicarse consigo mismo. Como sucede, su navegador web también tiene acceso al localhost, lo que permite a JavaScript integrados en ciertos sitios web conectarse a aplicaciones de Android y compartir datos e identificadores de navegación.
¿Cuáles son esos javascripts, podrías preguntar? En este caso, ese es Meta Pixel y Yandex Metrica, scripts que permiten a las empresas rastrear a los usuarios en sus sitios. Los rastreadores son una parte desafortunada de la Internet moderna, pero se supone que Meta Pixel solo puede seguirlo mientras navega por la web. Este bucle permite que los scripts de meta píxeles envíen sus datos de navegación, cookies e identificadores a meta aplicaciones instaladas como Facebook e Instagram. Lo mismo ocurre con Yandex con sus aplicaciones como mapas y navegador.
Ciertamente no se registró para eso cuando instaló Instagram en su dispositivo Android. Pero una vez que inició sesión, la próxima vez que visitó un sitio web que incrustó Meta Pixel, el script devolvió su información a la aplicación. De repente, Meta tenía datos de navegación de su actividad web, no a través de la navegación en sí, sino de la aplicación de Instagram “no relacionada”.
Chrome, Firefox y Edge se vieron afectados en estos hallazgos. Duckduckgo bloqueó algunos pero no todos los dominios aquí, por lo que fue “mínimamente afectado”. Brave bloquea las solicitudes al LocalHost si no le consiente, por lo que protegió con éxito a los usuarios de este seguimiento.
Los investigadores dicen que Yandex ha estado haciendo esto desde febrero de 2017 en sitios HTTP y mayo de 2018 en sitios HTTPS. Meta Pixel, por otro lado, no ha estado rastreando de esta manera por mucho tiempo: solo comenzó septiembre de 2024 para HTTP, y terminó esa práctica en octubre. Comenzó a través de WebSocket y WebRTC Stun en noviembre, y WebRTC giró en mayo.
Los propietarios del sitio web aparentemente se quejaron con Meta a partir de septiembre, preguntando por qué Meta Pixel se comunica con el LocalHost. Hasta donde los investigadores pudieron encontrar, Meta nunca respondió.
¿Qué piensas hasta ahora?
Los investigadores dejan en claro que el tipo de seguimiento es posible en iOS, ya que los desarrolladores pueden establecer conexiones locales y aplicaciones también pueden “escuchar en”. Sin embargo, no encontraron evidencia de este seguimiento en los dispositivos iOS e plantean la hipótesis de que tiene que ver con cómo iOS restringe las aplicaciones nativas que se ejecutan en segundo plano.
La buena noticia es, a partir del 3 de junio, los investigadores dicen que no han observado que Meta Pixel se comunique con el Hosthost. No dijeron lo mismo para Yandex Metrika, aunque Yandex le dijo a ARS Technica que estaba “descontinuando la práctica”. ARS Technica también informa que Google ha abierto una investigación sobre estas acciones que “violan descaradamente nuestros principios de seguridad y privacidad”.
Sin embargo, incluso si Meta ha detenido este seguimiento después del informe, el daño podría estar extendido. Como se destaca en el informe, las estimaciones ponen la adopción de meta píxeles de 2.4 millones a 5.8 millones de sitios. A partir de aquí, los investigadores encontraron que poco más de 17,000 sitios de meta píxeles en los EE. UU. Intentan conectarse al localhost, y más del 78% de ellos lo hacen sin el consentimiento de los usuarios necesarios, incluidos sitios como AP News, BuzzFeed y The Verge. Esa es muchos sitios web que podrían haber enviado sus datos a sus aplicaciones de Facebook e Instagram. El informe presenta una herramienta que puede usar para buscar sitios afectados, pero señala que la lista no es exhaustiva, y la ausencia no significa que el sitio sea seguro.
Meta no ha respondido a mi solicitud de comentarios al momento de la publicación. Sin embargo, según los informes, la compañía proporcionó a ARS Technica la siguiente declaración: “Estamos en conversaciones con Google para abordar una posible falta de comunicación con respecto a la aplicación de sus políticas. Al tomar conciencia de las preocupaciones, decidimos detener la función mientras trabajamos con Google para resolver el problema”.
