Retroscena
I banner dei cookie rimangono nonostante Google
di Dayan Pfammatter
Tecnologia di tracciamento speciale: Meta e Yandex spiano le informazioni sensibili degli utenti
5.6.2025
Traduzione: Leandra Amato
Un team di ricerca ha scoperto che Meta e Yandex tolgono l'anonimato di milioni di utenti Android, utilizzando un trucco per ottenere illegalmente informazioni personali sensibili. Che cosa significa?
I pixel tracking (o pixel di tracciamento) sono da anni uno strumento importante per gli inserzionisti online. Anche i servizi di social media come quelli di Meta raccolgono dati per misurare l'efficacia degli annunci e analizzare il comportamento degli utenti. Meta e il servizio russo-olandese Yandex hanno fatto un ulteriore passo avanti: finora il tracciamento è stato utilizzato sulla base di uno «pseudonimo». In altre parole, sebbene un utente riveli il proprio comportamento sul web, non è stato possibile trarre conclusioni concrete sulla sua identità.
Meta e Yandex hanno utilizzato un trucco che ha tolto quasi completamente l'anonimato ai loro utenti. Sono colpiti soprattutto gli utenti di dispositivi Android, i cui browser sono stati tecnicamente manipolati per fornire informazioni alle app di aziende, come Facebook, Instagram o Yandex.
Cosa è successo esattamente?
Ricercatori spagnoli e olandesi hanno scoperto che le due aziende utilizzano un trucco che interferisce con l'interazione di browser e app sui dispositivi Android. Mentre Yandex utilizza questa tecnologia dal 2017, Meta ha iniziato a usarla nel settembre 2024.
Al centro ci sono i cosiddetti «pixel di tracciamento», piccoli script invisibili che vengono incorporati nei siti web. Queste sono state manipolate dalle due aziende in modo tale da poter accedere a informazioni molto più sensibili insieme alle app installate.
Come funziona esattamente?
La base dell'attacco risiede in una funzione poco conosciuta di Android: le app possono ascoltare in background i cosiddetti indirizzi host locali, ovvero i canali di comunicazione che vengono effettivamente utilizzati solo internamente al dispositivo. Questi non vengono bloccati dai meccanismi di sicurezza per impostazione predefinita, quindi non richiedono alcuna autorizzazione speciale da parte del dispositivo.
Fonte: https://localmess.github.io/
Le app ne hanno approfittato. Non appena un utente accede a un sito web che contiene Meta Pixel o Yandex Metrica, viene inviato un pacchetto di dati attraverso questa connessione locale. L'app, anche se in esecuzione in background, riconosce questa richiesta, legge l'identificativo che contiene e lo confronta con l'account dell'utente connesso, ad esempio l'account di Facebook. Una sessione web anonima diventa improvvisamente un record di dati personali, collegato a un nome reale, a un profilo utente e a un intero passato digitale. Questo funziona anche quando si è in modalità incognito.
Chi è interessato?
Secondo i ricercatori, quasi sei milioni di siti web sono dotati del Meta Pixel e altri tre milioni utilizzano Yandex Metrica. Tra questi vi sono rivenditori al dettaglio e società di telecomunicazioni in Europa. Puoi scoprire esattamente quali siti web sono colpiti sulla pagina GitHub del team di ricerca. Un'analisi condotta dal team di ricerca ha rivelato che oltre il 70% di questi siti web non ha richiesto agli utenti il consenso al tracciamento, sebbene ciò sia obbligatorio ai sensi del RGPD. Molti operatori di siti web non erano nemmeno consapevoli del fatto che i tracker stabilissero connessioni alle porte locali dei dispositivi finali. Chi se ne accorgeva veniva ignorato da Meta.
Cosa succede ora?
Subito dopo la pubblicazione dello studio, Meta e Yandex hanno interrotto questa strategia. Meta ha annunciato di essere in trattativa con Google per chiarire i «malintesi» relativi alle linee guida della piattaforma. Yandex ha annunciato che avrebbe disattivato la funzione corrispondente, sottolineando però di non aver raccolto alcun dato sensibile.
Fonte: Shutterstock
Gli sviluppatori di browser stanno reagendo ai risultati della ricerca. In una nuova versione di Chrome, Google ha bloccato alcune varianti del cosiddetto «SDP munging», ovvero la tecnologia che stabilisce queste connessioni senza autorizzazione. Anche browser come Brave e DuckDuckGo si affidano a liste di blocco complete per impedire l'invio di dati alle porte locali. Mozilla, il produttore di Firefox, sta esaminando la tecnologia e ha annunciato delle indagini. Non è ancora chiaro come procederanno le cose dal punto di vista legale per Meta e Yandex.
Tuttavia, i ricercatori mettono in guardia dal festeggiare troppo presto: se Meta e compagnia bella cambiassero la porta – finora è sempre stata la 12387 – o utilizzassero un protocollo diverso, questa tecnologia potrebbe ancora essere utilizzata. Per risolvere il problema in modo permanente, questo dovrebbe avvenire con Android.
Cosa puoi fare?
La protezione più efficace contro questo tipo di tracciamento è attualmente quella di rimuovere le applicazioni Meta e Yandex dal proprio dispositivo Android e di utilizzare i servizi, se mai, tramite il browser.
In alternativa, è utile utilizzare browser che bloccano i tracker o impediscono le connessioni alle porte locali per impostazione predefinita (Brave o DuckDuckGo Browser). Se utilizzi un iPhone, sei apparentemente al sicuro: iOS non consente ancora tali connessioni in background nella stessa misura.
Immagine di copertina: Shutterstock
Da quando ho scoperto come attivare entrambi i canali telefonici sulla scheda ISDN per ottenere una maggiore larghezza di banda, sperimento con le reti digitali. Con quelle analogiche, invece, da quando so parlare. A Winterthur per scelta, con il cuore rossoblu.
Sicurezza
Segui gli argomenti e ricevi gli aggiornamenti settimanali relativi ai tuoi interessi.
16 commenti
later