Specjaliści z kilku europejskich krajów odkryli, że Meta i rosyjski Yandex wykorzystali swoje aplikacje dla systemu Android, by nas śledzić. Konkretnie udało im się łączyć dane o przeglądaniu stron internetowych z tożsamością użytkowników i danymi osobistymi, co nie powinno być możliwe.
Firmy te omijają także tryb incognito w przeglądarkach i mogą podążać za nami mimo czyszczenia ciasteczek (plików cookie) z pamięci przeglądarki. Do tego Meta ma dostęp do naszych profili w mediach społecznościowych i mogła je powiązać z danymi z przeglądarki (także w trybie Incognito!), co jest jeszcze bardziej przerażające. Sprawa dotyczy miliardów posiadaczy smartfonów z Androidem. To budzi poważne obawy o prywatność w sieci na globalną skalę.
Czytaj też: Koniec z inwigilacją przez aplikacje? Nowy system ochroni twoją prywatność
Meta szpiegowała, a teraz udaje przyjaźń z Googlem
Konkretnie wykorzystane zostały ciasteczka i metadane przeglądarki internetowej, pracującej na smartfonie, zbierane przez skrypty analityczne Piksel Meta (dawniej Facebook Pixel) i Yandex Metrica, integrowanych przez liczne strony internetowe. Dane zebrane przez skrypty były wysyłane do innych aplikacji, działających w tle na telefonie. Tam były przechowywane „na potem”.
Nasłuch odbywał się na portach lokalnych. Trzeba bowiem wiedzieć, że Android i wiele innych systemów operacyjnych mają wirtualny interfejs sieciowy (localhost) do komunikacji „samemu ze sobą”, bez wchodzenia do innych sieci, do których może być podłączony. Właśnie dzięki temu skryptom udało się ominąć typowe zabezpieczenia sieciowe, pracujące na smartfonach.
Specjaliści opisali kolejne kroki ataku. Tak, nazywajmy rzeczy po imieniu – to zachowanie typowe dla malware, a nie narzędzi analitycznych:
- użytkownik otwiera aplikację Facebook, Instagram albo Yandex Maps na swoim telefonie; zwykle zostawia ją działającą w tle, co pozwala jej uruchomić usługę nasłuchującą na określonych portach sieciowych (protokoły TCP i UDP);
- następnie użytkownik otwiera przeglądarkę i odwiedza stronę z narzędziem analitycznym Piksel Meta lub Yandex Metrica; w zależności od lokalizacji strony i użytkownika może być wymagane wyrażenie zgody na działanie skryptu;
- skrypt działa w przeglądarce i przez localhost wysyła ciasteczko _fbp do natywnej aplikacji Meta lub Yandexa;
- skrypt wysyła wartość _fbp i inne informacje (adres strony, metadane przeglądarki, typ zdarzenia) do serwera Meta lub Yandex;
- aplikacje Mety odbierają ciasteczko _fbp i potajemnie przesyłają je wraz z innymi identyfikatorami użytkownika do serwera Meta lub Yandex;
- serwer łączy identyfikator sesji przeglądania z kontem użytkownika i w ten sposób odkrywa zarówno jego historię przeglądania, jak i potencjalnie jego tożsamość; Meta ma do dyspozycji wszystkie informacje z mediów społecznościowych.
Proces można prześledzić na poniższych diagramach.
Warto dodać, że przy okazji Meta złamał zasady Google Play. Sklep z aplikacjami zabrania ukrytego gromadzenia danych przez aplikacje. Gdyby Google odkrył sprawę sam, pewnie Facebook i Instagram z hukiem wyleciałyby z Google Play. Kto wie, może nawet zostałyby zerwane umowy, na mocy których apki Meta są preinstalowane na telefonach różnych producentów. Teraz możemy już tylko pomarzyć o poważnych konsekwencjach.
Czytaj też: Nowy operator w Polsce. Za 35 zł masz 150 GB i pełną prywatność
Działania przeprowadzone w tym ataku łamią też założenia dotyczące działania ciasteczek pierwszej strony. Nie powinny one śledzić aktywności użytkowników na różnych stronach internetowych.
Meta stosuje tę praktykę od września 2024 roku. Jednak po ujawnieniu tych działań firma przestała to robić, a kod śledzący w dużej mierze znikł ze skryptu Meta Pixel. Meta informuje też, że nawiązała współpracę z Google, by odpowiednio zabezpieczyć Androida – świetny ruch, żeby wybielić swój wizerunek. Trudno powiedzieć, czy poniesie z tego tytułu jakieś konsekwencje. Mam szczerą nadzieję, że sprawą zajmie się Komisja Europejska i nie skończy się na karze finansowej. Rzecznik Meta powiedział redakcji The Register:
Jesteśmy w trakcie rozmów z Google, aby wyjaśnić potencjalne nieporozumienie dotyczące stosowania ich polityk. Po uświadomieniu sobie problemu zdecydowaliśmy się wstrzymać tę funkcję, podczas gdy współpracujemy z Google nad rozwiązaniem kwestii.
Prośba o więcej szczegółów na temat współpracy Meta i Google została zignorowana.
Yandex kombinował już w roku 2017 i nie jest to jedyna niecna praktyka firmy, nazywanej często rosyjskim Googlem. Tu raczej nie mamy co liczyć na zmiany.
Przeglądarki też walczą o bezpieczeństwo
Autorzy raportu zaproponowali, by w Androidzie zostało wprowadzone nowe uprawnienie „local network access”. Tylko aplikacje, które je uzyskają, mogłyby komunikować się z resztą oprogramowania na Androidzie za pomocą interfejsu sieciowego localhost. To zdecydowanie utrudniłoby śledzenie użytkowników. Google jednak twierdził wcześniej, że to niemożliwe z powodu barier technicznych. Może w końcu uda się te bariery pokonać dla dobra konsumentów.
Niemniej deweloperzy przeglądarek mają swoje sposoby, by zadbać o spokój ducha użytkowników. Chrome 137, wydany 26 maja 2025 roku, zawiera już zabezpieczenia przeciwko niektórym zabiegom, stosowanym przez skrypt Piksel Meta. Na razie są dostępne tylko dla testerów.
Czytaj też: Apple kontra UE. Gigant wciąż ma problem z wymogami
Przeglądarka Brave w ogóle nie była podatna na ten typ ataku, ponieważ wymaga zgody na komunikację z localhost. DuckDuckGo dzięki swojej liście blokad również niemal całkowicie bronił użytkowników, a teraz poszedł na całość i kompletnie zablokował skrypty Yandexa. Poprawka jest też w drodze dla mobilnego Firefoxa. Jeszcze nie wiemy, co zrobi Microsoft w mobilnej wersji przeglądarki Edge.