▲
- Meta e Yandex exploraram uma falha no Android para monitorar usuários sem seu conhecimento, usando uma interface chamada localhost.
- Se você usa Android, sua privacidade pode ter sido comprometida, mesmo em modo anônimo.
- Essa prática revela vulnerabilidades em sistemas que deveriam proteger seus dados pessoais.
- Empresas já tomaram medidas, mas a descoberta alerta para riscos similares em outros dispositivos.
A Meta, empresa de Mark Zuckerberg, e a Yandex, gigante tecnológica russa, exploraram uma falha no Android para monitorar usuários mesmo quando eles acreditavam estar protegidos. A descoberta foi revelada em uma pesquisa divulgada por especialistas do Instituto IMDEA Networks, na Espanha, e da Universidade Radboud, na Holanda.
Como funcionava o rastreamento?
O método explorava uma interface chamada localhost, normalmente usada por desenvolvedores para testes internos. No entanto, essa ferramenta foi adaptada para coletar dados de navegação dos usuários sem seu conhecimento. A falha no Android permitia que aplicativos com permissão de Internet abrissem um servidor local na interface de loopback, acessível por outros apps ou navegadores.
O risco aumentava porque scripts JavaScript em páginas da web conseguiam se conectar ao localhost. Assim, apps como Facebook podiam abrir um serviço local, e códigos da Meta, presentes em sites, enviavam dados do navegador — como cookies e identificadores — diretamente para o aplicativo. Essa técnica driblava até mesmo o modo anônimo.
De acordo com os pesquisadores, Facebook, Instagram e diversos apps da Yandex usavam essa brecha para monitorar portas específicas no Android, criando um canal secreto entre navegador e aplicativo. Os scripts do Meta Pixel estavam presentes em mais de 5,8 milhões de sites, enquanto os do Yandex Metrica apareciam em quase 3 milhões.
E no iPhone?
O estudo não encontrou evidências de algo similar no iPhone, mas os pesquisadores alertam que a técnica é tecnicamente possível, já que navegadores no iOS também permitem conexões localhost. A pesquisa ainda não passou por revisão por pares, mas algumas empresas envolvidas confirmaram parcialmente as descobertas.
Leia também:
Reação das empresas
Após a divulgação, a Meta desativou a função e removeu quase totalmente o código responsável pelo envio dos dados. A empresa afirmou estar em negociação com o Google para resolver o que chamou de “falha de comunicação”. O Chrome, Brave e DuckDuckGo já adotaram medidas para bloquear esse tipo de rastreamento.
Já a Yandex, que usa comunicações localhost desde 2017, defendeu a prática, dizendo que o recurso “não coleta informações sensíveis” e serve apenas para “aprimorar a personalização” em seus apps. Enquanto isso, usuários buscam alternativas como proteger sua privacidade online diante dessas vulnerabilidades.
Este conteúdo foi auxiliado por Inteligência Artificial, mas escrito e revisado por um humano.
Via Tecnoblog
