Meta e Yandex pegas desviando proteções de privacidade com rastreamento localhost
Pesquisadores de segurança revelaram que o Meta e o Yandex usaram aplicativos Android nativos para monitorar portas localhost, vinculando dados de navegação na web a identidades de usuários e contornando as proteções de privacidade típicas. O script Pixel do Meta parou de enviar dados para localhost e removeu grande parte do código de rastreamento, provavelmente para evitar violar as políticas do Google Play. Os pesquisadores descobriram que os aplicativos Facebook, Instagram e Yandex coletavam silenciosamente dados de cookies por meio de portas locais fixas, vinculando a atividade de navegação às identidades dos usuários e contornando a limpeza de cookies, o modo anônimo e os sistemas de permissão de aplicativos. O Meta empregou essa técnica a partir de setembro de 2024, usando protocolos HTTP, WebSocket e WebRTC. O Meta desde então cessou essa prática, mas o uso do Yandex continua. O Chrome 137 inclui algumas mitigações, e o Firefox e o DuckDuckGo também estão tomando medidas.