Meta e empresa russa exploraram falha no Android para monitorar usuários

A Meta e a Yandex, empresa de tecnologia russa, exploraram uma falha no Android para monitorar usuários — mesmo quando eles acreditavam usar proteções. É o que afirma uma pesquisa divulgada nesta terça-feira (03/06) por pesquisadores do Instituto IMDEA Networks, na Espanha, e da Universidade Radboud, na Holanda.

A prática explorava a interface “localhost”, tipo de conexão que permite que um dispositivo envie dados para ele mesmo, normalmente usada por desenvolvedores para testes. Neste caso, porém, ela teria sido adaptada para rastrear os dados de navegação dos usuários.

Como funcionava o rastreamento?

Bem, em linhas gerais, o que os pesquisadores dizem é o seguinte: a “falha” no Android ocorre porque o sistema permite que qualquer aplicativo com a permissão “Internet” abra um servidor local na interface de loopback, também chamado de localhost (endereço 127.0.0.1). 

Embora esse recurso devesse ser restrito à comunicação interna entre componentes do próprio app, ele pode ser acessado por outros apps ou pelo navegador, sem exigir permissões extras ou consentimento do usuário.

O risco é maior porque o JavaScript executado em páginas da web também consegue se conectar ao localhost. Então, um app como o Facebook pode abrir um serviço local e o código JavaScript da própria Meta, carregado em qualquer site, acessa esse serviço para enviar dados do navegador — como cookies e fingerprints — diretamente ao app.

De acordo com os pesquisadores, o Facebook, Instagram e diversos apps da Yandex — que opera o principal buscador da Rússia — exploravam essa brecha monitorando portas específicas no Android, utilizando essa “janela” para rastrear usuários de forma cruzada entre web e apps.

Quando o usuário abria um site que continha scripts do Meta Pixel ou do Yandex Metrica — ferramentas comuns de análise de tráfego —, esses scripts enviavam dados, como cookies e identificadores, diretamente para os aplicativos nativos via localhost, driblando o modo anônimo e algumas permissões de segurança do Android. 

Se fosse restrito a poucos sites, o problema seria menor, mas a pesquisa mostrou que os scripts do Meta Pixel estão presentes em mais de 5,8 milhões de sites, enquanto os do Yandex Metrica aparecem em quase 3 milhões.

É como se um canal secreto fosse criado entre o navegador e o app, fugindo das regras tradicionais de segurança. Segundo a pesquisa, essa coleta contínua é difícil de bloquear pelos mecanismos comuns de qualquer usuário.

E no iPhone?

O levantamento não encontrou evidências de algo parecido nos navegadores e aplicativos do iPhone, que também foram testados. Mas os pesquisadores afirmam que algo semelhante é tecnicamento possível, já que os navegadores no iOS são baseados no WebKit e também permitem conexões localhost.

Além disso, eles afirmam que suas descobertas foram confirmadas por algumas das partes notificadas, mas o estudo ainda não passou por uma revisão por pares.

O que dizem as empresas?

Após a divulgação feita pelos pesquisadores europeus, a Meta desativou a função e removeu quase integralmente o código “cookie _fbp”, responsável pelo envio dos dados, afirmando ao The Register que está em negociação com o Google para resolver o que chamou de uma “falha de comunicação”.

O Google já implementou bloqueios parciais no Chrome para impedir esse tipo de rastreamento — os navegadores Brave e DuckDuckGo também adotaram medidas preventivas.

A pesquisa afirma que Yandex usa comunicações localhost desde 2017. Mas, à Ars Technica, a empresa afirmou que “o recurso em questão não coleta nenhuma informação sensível e tem como único objetivo aprimorar a personalização em nossos aplicativos”.

Com informações da Ars Technica e The Register

Meta e empresa russa exploraram falha no Android para monitorar usuários

Fonte: Tecnoblog