Recentemente, pesquisadores de segurança revelaram que a Meta e a Yandex utilizaram aplicativos nativos do Android para ar portas locais, permitindo a coleta de dados de navegação na web. Essa prática possibilitou a vinculação de dados de navegação a identidades de usuários, contornando proteções de privacidade comuns.
Após a divulgação, observou-se que o script Pixel da Meta parou de enviar dados para o localhost, e o código de rastreamento foi amplamente removido. Essa ação pode ajudar a Meta a evitar escrutínio sob as políticas do Google Play, que proíbem a coleta de dados de forma oculta em aplicativos.
Como os pesquisadores descobriram a técnica?
Um relatório publicado por cientistas da computação de instituições como IMDEA Networks, Radboud University e KU Leuven descreve como a Meta e a Yandex usaram aplicativos Android nativos para coletar dados de cookies da web através da interface de loopback do dispositivo, conhecida como localhost. Essa técnica permitiu que aplicativos como Facebook, Instagram e Yandex Maps assem metadados de navegadores e cookies.
Os pesquisadores identificaram que esses aplicativos escutavam silenciosamente em portas locais fixas para fins de rastreamento. Ao ar identificadores de dispositivos, como o ID de Publicidade do Android, esses aplicativos puderam vincular sessões de navegação móvel e cookies da web a identidades de usuários.
Como funciona o rastreamento via localhost?
O localhost é um endereço de loopback que um dispositivo pode usar para fazer uma solicitação de rede para si mesmo. É comumente utilizado por desenvolvedores de software para testar aplicativos baseados em servidor em hardware local. No entanto, a Meta e a Yandex usaram essa técnica para contornar salvaguardas de privacidade comuns, como a limpeza de cookies e o Modo Incógnito.
O processo de rastreamento da Meta envolve scripts associados ao Meta Pixel, um código de análise usado por profissionais de marketing para coletar dados sobre interações com sites. Os aplicativos nativos do Android recebiam metadados de navegadores, cookies e comandos dos scripts Meta Pixel e Yandex Metrica, conectando-se silenciosamente com aplicativos nativos em execução no mesmo dispositivo através de sockets localhost.
Quais medidas estão sendo tomadas?
Após a divulgação, os pesquisadores observaram que a Meta interrompeu o uso dessas técnicas. A partir de junho de 2025, o script Pixel da Meta não envia mais pacotes ou solicitações para o localhost. Além disso, os autores do relatório notaram que a divulgação para fornecedores de navegadores Android levou a várias mitigações.
O Chrome 137, lançado em maio de 2025, inclui medidas para bloquear a técnica de SDP Munging usada pelo Meta Pixel. Uma correção está sendo desenvolvida para o Mozilla Firefox, enquanto o Brave não é afetado, pois requer consentimento para o uso de localhost. O DuckDuckGo modificou sua lista de bloqueios para interromper os scripts da Yandex.
Qual o futuro do rastreamento baseado em localhost?
Os autores sugerem uma proposta do Google para criar uma nova permissão de “o à rede local” que poderia ajudar a mitigar o rastreamento baseado em localhost no futuro. No entanto, uma proposta anterior encontrou barreiras técnicas. A discussão sobre a aplicação dessas políticas continua, enquanto as empresas buscam maneiras de equilibrar a coleta de dados e a privacidade do usuário.
