O rastreamento acontece por meio dos códigos Meta Pixel e Yandex Metrica, usados em sites para monitorar o comportamento dos visitantes.
Pesquisadores descobriram que os códigos de rastreamento usados pela Meta e pela Yandex, em milhões de sites, estão desanonimizando usuários — ou seja, revelando quem são eles — ao explorar brechas em protocolos legítimos da internet. Isso faz com que navegadores como o Chrome envie, sem que a pessoa saiba, identificadores únicos para aplicativos já instalados no celular.
Com esses identificadores, Meta e Yandex conseguem transformar dados temporários da web em informações permanentes que ligam a atividade online à identidade dos usuários de aplicativos móveis, como Facebook, Instagram ou apps do Yandex. O Google afirmou que está investigando esse uso indevido.
O rastreamento acontece por meio dos códigos Meta Pixel e Yandex Metrica, usados em sites para monitorar o comportamento dos visitantes. Segundo os pesquisadores, esses códigos conseguem driblar proteções de privacidade do Android e dos navegadores, como o sistema de sandboxing, que serve para isolar processos e evitar acesso a dados confidenciais.
“Um dos princípios fundamentais de segurança que existe na web, assim como em sistemas móveis, é chamado de sandboxing”, explicou o pesquisador Narseo Vallina-Rodriguez, um dos responsáveis pela descoberta. “Você executa tudo em um sandbox, e não há interação entre os diferentes elementos em execução nele. O que esse vetor de ataque permite é quebrar o sandbox que existe entre o contexto móvel e o contexto web”, destacou.
Segundo o estudo, a Yandex começou a usar esse método em 2017, e a Meta, em setembro de 2023. O objetivo seria conectar cookies e outros identificadores usados no navegador com os dados de usuários já conectados em aplicativos Android. Isso permite que as empresas montem um histórico completo de navegação vinculado a pessoas reais.
Usuários de Android são os mais afetados
Até o momento, esse tipo de rastreamento foi detectado apenas em dispositivos com sistema Android. Apesar disso, os pesquisadores afirmam que, tecnicamente, também seria possível fazer algo parecido no iOS (Apple), embora o sistema da Apple seja mais restrito em relação a esse tipo de acesso.
Meta Pixel e Yandex Metrica são ferramentas de análise, usadas por anunciantes para medir o desempenho de suas campanhas. Estima-se que estejam presentes em 5,8 milhões de sites (Meta) e 3 milhões (Yandex).
Embora usem técnicas diferentes, os dois exploram o mesmo tipo de falha: acesso não autorizado às portas locais do sistema. Os navegadores acessam essas portas sem alertar o usuário, e os aplicativos monitoram essas conexões silenciosamente, copiando os identificadores e associando-os a quem está logado.
O Google afirmou que esse tipo de comportamento viola as regras da Play Store e as expectativas de privacidade dos usuários Android.
“Estamos em negociações com o Google para resolver uma possível falha de comunicação em relação à aplicação de suas políticas. Ao tomarmos conhecimento das preocupações, decidimos pausar o recurso enquanto trabalhamos com o Google para resolver o problema”, respondeu a Meta por meio de declaração.
Já o Yandex, disse por email que “cumpre rigorosamente os padrões de proteção de dados e não desanonimiza os dados dos usuários. O recurso em questão não coleta nenhuma informação sensível e tem como único objetivo aprimorar a personalização em nossos aplicativos”.
