Meta y Yandex sorprendidos eludiendo las protecciones de privacidad con rastreo localhost
Investigadores de seguridad revelaron que Meta y Yandex utilizaron aplicaciones nativas de Android para escuchar en puertos localhost, vinculando datos de navegación web a identidades de usuarios y eludiendo las protecciones de privacidad típicas. El script Pixel de Meta dejó de enviar datos a localhost y eliminó gran parte del código de rastreo, probablemente para evitar violar las políticas de Google Play. Los investigadores descubrieron que las aplicaciones Facebook, Instagram y Yandex recopilaban silenciosamente datos de cookies a través de puertos locales fijos, vinculando la actividad de navegación a las identidades de los usuarios y eludiendo la eliminación de cookies, el modo incógnito y los sistemas de permisos de aplicaciones. Meta empleó esta técnica a partir de septiembre de 2024, utilizando protocolos HTTP, WebSocket y WebRTC. Meta ha cesado desde entonces esta práctica, pero el uso de Yandex continúa. Chrome 137 incluye algunas mitigaciones, y Firefox y DuckDuckGo también están tomando medidas.