Een internationaal onderzoeksteam onder leiding van onderzoekers van de Radboud Universiteit en IMDEA Networks heeft een mogelijk privacyprobleem ontdekt waarbij Meta en de Russische techgigant Yandex betrokken zijn.
Ze ontdekten dat native Android-apps, waaronder Facebook en Instagram, stilletjes luisteren op vaste lokale poorten op mobiele apparaten om het surfgedrag van gebruikers zonder hun toestemming te de-anonimiseren. Zelfs de incognito-modus bood geen privacy.
Door trackingcode in miljoenen websites in te bedden, zijn Meta's Pixel en Yandex Metrica in staat geweest om het surfgedrag van Android-gebruikers in kaart te brengen aan de hand van hun permanente identiteit (dus met de accounthouder ingelogd). Deze methode omzeilt de privacybescherming die wordt geboden door de machtigingscontroles van Android en zelfs de incognitomodus van browsers, waardoor alle grote Android-browsers worden getroffen. Het internationale onderzoeksteam heeft het probleem gemeld aan verschillende browserleveranciers, die actief werken aan maatregelen om dit soort misbruik te beperken. De maatregelen van Chrome zullen bijvoorbeeld zeer binnenkort van kracht worden.
Deze trackingbedrijven omzeilen deze beveiliging al geruime tijd: Yandex doet dit al sinds 2017 en Meta sinds september 2024. Het aantal mensen dat door dit misbruik wordt getroffen, is groot, aangezien Meta Pixel en Yandex Metrica naar schatting op respectievelijk 5,8 miljoen en 3 miljoen websites zijn geïnstalleerd. Het is ook vermeldenswaard dat bewijs van deze trackingpraktijk alleen op Android is waargenomen.
“Het interessante hier is waar de koppeling plaatsvindt en hoe deze trackers het mobiele webverkeer van gebruikers kunnen de-anonimiseren”, legt Aniketh Girish, promovendus bij IMDEA Networks en een van de onderzoekers van dit project, uit. “In het geval van Meta's Pixel worden localhost-kanalen gebruikt om browser-identificatiegegevens via WebRTC te delen met hun native apps zoals Facebook of Instagram, waar de gegevens worden gekoppeld aan het aangemelde account van de gebruiker en stilletjes door de app worden doorgestuurd naar de servers van Meta.”
De oplossing om dit soort misbruik te voorkomen dat mobiele platforms en browsers de manier waarop ze toegang tot lokale poorten afhandelen, grondig herzien. “Het fundamentele probleem dat deze aanval mogelijk maakt, is het gebrek aan controle over lokale hostcommunicatie op de meeste moderne platforms”, stellen de onderzoekers. “Tot onze onthulling waren Android-gebruikers die het doelwit waren van Yandex en Meta's Pixel volledig kansloos tegen deze trackingmethode. Het is mogelijk dat de meeste browserfabrikanten en platformbeheerders dit misbruik niet eens in hun dreigingsmodellen hebben meegenomen. Technische maatregelen mogen het legitieme gebruik van localhost-sockets, zoals fraudebestrijding of authenticatiemethoden, niet verstoren. Daarom is het noodzakelijk om technische oplossingen, zoals nieuwe sandboxing-principes en meer testmodellen, aan te vullen met strengere platformbeleidsregels en controleprocessen voor winkels om misbruik te beperken en zo andere trackingdiensten ervan te weerhouden in de toekomst soortgelijke methoden te gebruiken.”
Er zijn momenteel geen aanwijzingen dat Meta of Yandex deze trackingmogelijkheden hebben bekendgemaakt aan de websites die de trackers hosten of aan de eindgebruikers die deze sites bezoeken. Uit informatie op ontwikkelaarsforums blijkt dat Meta en Yandex dit gedrag mogelijk niet hebben meegedeeld aan websiteontwikkelaars die hun trackingoplossingen integreren. Veel websitebeheerders die Meta Pixel gebruiken, werden zelfs verrast toen het script verbinding begon te maken met lokale poorten, zoals blijkt uit verschillende forumdiscussies. Totdat Google en andere grote browsers reageren, is de enige manier om dit misbruik te voorkomen, het vermijden van het downloaden van apps zoals Facebook of Instagram en de eerder genoemde Yandex-apps.
Gunes Acar, universitair docent aan de Radboud Universiteit, die het onderzoek mede heeft geleid en de eerste ontdekking heeft gedaan, benadrukt: “Meta heeft niet alleen nagelaten website-eigenaren te informeren over deze trackingmethode, maar ook hun klachten en vragen genegeerd. Dit soort platformoverschrijdende tracking is ongekend – en het is vooral verrassend omdat het afkomstig is van twee bedrijven die wereldwijd miljarden gebruikers bedienen.' Over de beschermingsmaatregelen die dankzij hun onthullingen zijn genomen, zegt hij: 'We waren blij te zien dat browserontwikkelaars, waaronder Chrome en DuckDuckGo, dankzij onze onthullingen al fixes hebben uitgebracht.”
