Un team di ricercatori ha scoperto un nuovo metodo sfruttato da Meta per tracciare gli utenti online attraverso il noto script Meta Pixel inserito in quasi sei milioni di siti web. L’azienda di Menlo Park può aggirare le protezioni di Chrome e Android, associando le sessioni di navigazione e i cookie alle identità degli utenti. Un simile metodo viene usato da Yandex. Google ha dichiarato che si tratta di una violazione dei termini del servizio.
Descrizione della tecnica di de-anonimizzazione
La sandbox di Android isola i processi per impedire l’interazione con il sistema operativo e le app installate sul dispositivo, bloccando l’accesso a dati sensibili o risorse di sistema privilegiate. I principali browser sfruttano invece il partizionamento dello stato e il partizionamento dello storage per memorizzare i cookie di un sito in contenitori univoci impedendo l’accesso agli altri siti.
A partire da settembre 2024, Meta aggira queste protezioni passando i cookie e altri identificatori alle app Facebook e Instagram installate sui dispositivi Android. L’azienda di Menlo Park può associare la cronologia di navigazione all’account usato per le app. Ciò avviene abusando della comunicazione tra browser e app.
Chrome può inviare richieste web alle porte locali di Android, tra cui quelle sull’indirizzo 127.0.0.1 (localhost). Le app Facebook e Instagram accedono alle stesse porte. Quando l’utente apre un sito che contiene lo script Meta Pixel, le app ricevono i dati e quindi possono associare la cronologia di navigazione all’identità dell’utente.
Sul sito dei ricercatori si può leggere la descrizione dettagliata della tecnica. Google ha comunicato che sono state già implementate misure per mitigare questa tecnica invasiva, ma i ricercatori affermano che potrebbero essere aggirate in futuro. Al momento, l’unica protezione efficace è non installare le app Facebook e Instagram per Android.
Ti potrebbe interessare
4 giu 2025