Las meta aplicaciones rastrean la web web para usuarios de Android durante varios meses
No espero que Meta respete mis datos o privacidad, pero la compañía todavía me sorprende a medida que disminuye al obtener el nombre de la recopilación de datos. Lo último de esta historia nos llega de un informe Titulado «Detección: cubiertas de web a aplicación a través de Andiroid en Android». En resumen, Meta y Yandex (empresa de tecnología rusa) rastrean miles de millones de usuarios de Android al abusar de una vulnerabilidad de seguridad en Android. Esta vulnerabilidad permite a las empresas acceder a los datos de navegación desde su navegador web siempre que sus aplicaciones Android estén instaladas.
¿Cómo funciona esta pista?
Como muestra el informe, Android permite que cualquier aplicación instalada con permisos de Internet acceda a «»Dirección del remitente«O localhost, la dirección que el dispositivo usa para comunicarse consigo mismo. Como sucede, su navegador web también tiene acceso al host local, lo que permite que los JavaScript se incluyan en algunos sitios web se conecten a aplicaciones de Android y compartan datos e identificadores de navegación.
¿Qué es JavaScripts, podría preguntar? En este caso, este es Meta Pixel y Yandex Metrica, textos que permiten a las empresas rastrear a los usuarios en sus sitios. Los seguidores son una parte desafortunada de la Internet moderna, pero se supone que Meta Pixel puede seguirlo mientras navega por la web. Este episodio permite que los textos meta píxeles envíen sus datos, cookies e identificadores de navegación a meta aplicaciones instaladas como Facebook e Instagram. Lo mismo se aplica a Yandex con sus aplicaciones, como mapas y navegador.
Definitivamente no está registrado al instalar Instagram en su dispositivo Android. Pero una vez que inicie sesión, la próxima vez que visitó el sitio web de Pixel Meta Pixel, el programa de texto ha preparado su información en la aplicación. De repente, Meta había identificado datos de navegación de su actividad web, no navegando por sí misma, sino de la aplicación de Instagram «no relacionada».
Chrome, Firefox y Edge se vieron afectados por estos resultados. Duckduckgo evitó algunas áreas, pero no todas las áreas aquí, por lo que fue «mínimo afectado». Brave prohíbe las solicitudes del host local si no está de acuerdo con él, por lo que ha protegido con éxito a los usuarios de este seguimiento.
Los investigadores dicen que Yandex ha estado haciendo esto desde febrero de 2017 en sitios HTTP y mayo de 2018 en sitios HTTPS. Meta Pixel, por otro lado, no siguió este método durante mucho tiempo: comenzó solo en septiembre de 2024 para HTTP, y terminó esta práctica en octubre. Comenzó a través de WebSockket y WebRTC Stun en noviembre, y Webrtc se dirigió en mayo.
Parece que los propietarios del sitio y Wech a Meta a partir de septiembre, y preguntaron por qué Meta Pixel se conecta al anfitrión local. Hasta donde los investigadores pueden encontrar, nunca respondió muerto.
¿Qué piensas hasta ahora?
Los investigadores muestran que el tipo de seguimiento es posible en iOS, donde los desarrolladores también pueden crear comunicaciones y aplicaciones locales «escuchar». Sin embargo, no han encontrado ninguna evidencia de este seguimiento en dispositivos iOS, y asumen que está relacionado con la forma en que iOS restringe las aplicaciones originales que operan en segundo plano.
La buena noticia es que, a partir del 3 de junio, los investigadores dicen que no han notado que el píxel Meta Pixel se comunique con el anfitrión local. No dijeron lo mismo para Yandex Metrika, Aunque Yandex le dijo a ARS Technica Era «parar práctica». ARS Technica también declaró que Google ha abierto una investigación sobre estas medidas «violando flagrantemente los principios de seguridad y privacidad».
Sin embargo, incluso si Meta detiene este seguimiento después del informe, el daño puede estar extendido. Como se muestra en el informe, la adopción de PETA Pixel estima entre 2.4 millones a 5.8 millones de sitios. A partir de aquí, los investigadores encontraron que más de 17,000 sitios de meta píxeles en los Estados Unidos intentan contactar al anfitrión local, y más del 78 % de estos hacen esto sin la necesidad de aprobación del usuario, incluidos sitios como AP News, BuzzFeed y The Verge. Este es un mucho Uno de los sitios web que podría haber sido enviado sus datos a sus aplicaciones de Facebook e Instagram. El informe presenta una herramienta que puede usar para buscar sitios afectados, pero se observa que el menú no es integral, y la ausencia no significa que el sitio sea seguro.
Meta no respondió a mi solicitud de comentarios desde el momento de la publicación. Sin embargo, se informó que la compañía ha proporcionado a ARS Technica la siguiente declaración: «Estamos en conversaciones con Google para abordar un posible malentendido con respecto a la aplicación de sus políticas. Cuando nos damos cuenta de los temores, decidimos detener la función mientras trabajamos con Google para resolver el problema».
