La scoperta del tracciamento nascosto
Non ci si aspetta che Meta rispetti i dati o la privacy degli utenti, ma l’azienda continua a sorprendere con quanto in basso sia disposta a spingersi in nome della raccolta dati. Una recente ricerca intitolata “Disclosure: Covert Web-to-App Tracking via Localhost on Android” ha rivelato che Meta e Yandex (una società tecnologica russa) hanno tracciato potenzialmente miliardi di utenti Android abusando di una vulnerabilità di sicurezza nel sistema operativo. Questa falla ha permesso alle aziende di accedere a dati di navigazione identificativi direttamente dal browser web degli utenti, a condizione che avessero le loro applicazioni Android installate sul dispositivo.
La scoperta è avvenuta nel gennaio 2025, quando ricercatori della Radboud University nei Paesi Bassi e dell’IMDEA Networks hanno identificato questo comportamento sospetto. Il professor Gunes Acar, assistente presso la Radboud University, ha notato che le applicazioni di Meta, inclusi Facebook e Instagram, e le app di Yandex, come Yandex Maps, operavano in background sui dispositivi Android caricando script che inviavano dati localmente alle app presenti sui telefoni degli utenti.
Come funzionava il tracciamento
Il meccanismo di tracciamento era sorprendentemente sofisticato. Le app native di Meta e Yandex aprivano porte localhost sui dispositivi che consentivano di ricevere dati di tracciamento, come cookie e metadati del browser, dagli script in esecuzione nei browser mobili. Questo permetteva di aggirare le comuni protezioni della privacy come la cancellazione dei cookie, la modalità di navigazione in incognito e persino il sistema di autorizzazioni delle app di Android.
Il processo coinvolgeva script associati a Meta Pixel, un codice di analisi utilizzato dai marketer per raccogliere dati sulle interazioni con i siti web. Si stima che Meta Pixel sia adottato da un numero compreso tra 2,4 e 5,8 milioni di siti web. I ricercatori hanno scoperto che poco più di 17.000 siti con Meta Pixel negli Stati Uniti tentavano di connettersi al localhost, e oltre il 78% di questi lo faceva senza richiedere alcun consenso all’utente, inclusi siti popolari come AP News, Buzzfeed e The Verge.
Poiché queste app native accedono agli identificatori del dispositivo come l’ID pubblicità Android o gestiscono le identità degli utenti nelle app Meta, sono state in grado di collegare le sessioni di navigazione mobile e i cookie web alle identità degli utenti. In sostanza, Meta poteva tracciare cosa gli utenti guardavano, cliccavano o acquistavano per offrire loro annunci più personalizzati.
Tecniche utilizzate per implementare il tracciamento
Per implementare questo schema di intercettazione app-web sono stati utilizzati vari API e protocolli:
- SDP munging: modifica manuale dei messaggi del protocollo di descrizione della sessione prima che i dati vengano passati al browser
- Protocolli di comunicazione in tempo reale: Websocket e WebRTC
- STUN (Session Traversal Utilities for NAT): un meccanismo di scoperta degli indirizzi
- TURN (Traversal Using Relays around NAT): un metodo per aggirare le restrizioni del router
Questa tecnica violava le presupposizioni riguardanti l’ambito dei cookie di prima parte, che non dovrebbero essere in grado di tracciare l’attività di navigazione su diversi siti web. Secondo i ricercatori, “il metodo che divulghiamo consente di collegare i diversi cookie _fbp allo stesso utente, il che aggira le protezioni esistenti e va contro le aspettative degli utenti”.
L’impatto sulla privacy degli utenti
L’impatto di questa pratica è stato potenzialmente enorme. Il tracciamento funzionava su tutti i principali browser Android e poteva seguire gli utenti anche quando utilizzavano la modalità di navigazione in incognito o una VPN. Finché gli utenti erano connessi alle app di Meta, come Instagram e Facebook, l’azienda era in grado di monitorare la loro attività web.
Secondo quanto riferito, Meta ha utilizzato questo tipo di raccolta dati da settembre 2024, il che significa che per circa nove mesi gli utenti Android sono stati tracciati senza il loro consenso o conoscenza.
La risposta di Meta e la cessazione del tracciamento
La buona notizia è che, a partire dal 3 giugno 2025, i ricercatori hanno affermato di non aver più osservato Meta Pixel comunicare con il localhost. Meta ha dichiarato: “Siamo in discussione con Google per affrontare una potenziale mancanza di comunicazione riguardo all’applicazione delle loro politiche. Dopo essere venuti a conoscenza delle preoccupazioni, abbiamo deciso di mettere in pausa la funzionalità mentre lavoriamo con Google per risolvere il problema.”
Anche Yandex ha comunicato ad Ars Technica che avrebbe “interrotto la pratica”, sebbene i ricercatori non abbiano confermato che Yandex Metrika abbia effettivamente cessato le comunicazioni con il localhost.
La reazione di Google
Google ha risposto affermando che le aziende che hanno raccolto dati sensibili in questo modo stavano utilizzando le funzionalità di Android “in modi non previsti che violano palesemente i nostri principi di sicurezza e privacy”. L’azienda ha dichiarato di aver implementato modifiche per mitigare questi tipi di tecniche invasive e di aver avviato una propria indagine, entrando in contatto diretto con le parti coinvolte.
Come proteggere la tua privacy su Android
Alla luce di queste scoperte, ecco alcuni suggerimenti pratici per proteggere la tua privacy sui dispositivi Android:
1. Controlla e limita le autorizzazioni delle app
- Vai in Impostazioni > App > Gestione app
- Esamina le autorizzazioni concesse a ciascuna app, in particolare quelle di Meta (Facebook, Instagram, Messenger)
- Revoca le autorizzazioni non necessarie, specialmente quelle relative alla posizione, ai contatti e all’accesso allo spazio di archiviazione
2. Utilizza browser alternativi con funzionalità anti-tracciamento
- Firefox Focus: un browser che blocca automaticamente i tracker
- Brave: offre protezioni integrate contro il fingerprinting e il tracciamento
- DuckDuckGo Browser: progettato con la privacy come priorità
3. Considera la disinstallazione delle app problematiche
Se sei particolarmente preoccupato per la tua privacy, potresti considerare di:
- Disinstallare completamente le app di Meta dal tuo dispositivo
- Accedere ai servizi tramite browser web, possibilmente in modalità desktop
- Utilizzare versioni alternative e più leggere delle app, come Facebook Lite
4. Implementa soluzioni a livello di rete
- Configura un DNS privato nelle impostazioni di rete del tuo dispositivo (ad esempio, dns.adguard.com)
- Considera l’utilizzo di una VPN affidabile che blocchi il tracciamento
- Installa app di firewall come NetGuard che possono bloccare le connessioni indesiderate
5. Resetta regolarmente l’ID pubblicità di Android
- Vai in Impostazioni > Google > Annunci
- Seleziona “Reimposta ID pubblicità” periodicamente
- Attiva l’opzione “Disattiva personalizzazione annunci”
6. Utilizza strumenti di verifica della privacy
- Installa app come Privacy Checker o Exodus Privacy per analizzare i tracker presenti nelle app installate
- Esegui regolarmente scansioni per identificare comportamenti sospetti
7. Mantieni il sistema operativo aggiornato
- Installa sempre gli ultimi aggiornamenti di sicurezza di Android
- Verifica se il produttore del tuo dispositivo ha rilasciato patch specifiche per questa vulnerabilità
Il futuro della privacy su Android
Questo incidente solleva importanti domande sul futuro della privacy nel mondo mobile. Google ha dichiarato di aver implementato modifiche per mitigare queste tecniche invasive, ma gli utenti dovrebbero rimanere vigili.
È probabile che vedremo un rafforzamento delle protezioni della privacy in Android, possibilmente con nuove restrizioni su come le app possono comunicare tra loro e con i browser web. Tuttavia, la storia ci insegna che le aziende interessate alla raccolta dati troveranno sempre nuovi modi per aggirare queste protezioni.
Per gli utenti, questo sottolinea l’importanza di un approccio stratificato alla privacy: non affidarsi mai a una singola misura di protezione, ma implementare più livelli di difesa, dall’uso consapevole delle app all’adozione di strumenti dedicati alla privacy.
Il caso del tracciamento segreto da parte di Meta e Yandex rappresenta uno dei più significativi incidenti di privacy mobile degli ultimi anni. Sebbene Meta abbia interrotto questa pratica, il danno potrebbe essere già stato fatto, con miliardi di utenti Android potenzialmente tracciati per mesi senza il loro consenso.
Questo incidente serve come promemoria del valore che i giganti della tecnologia attribuiscono ai nostri dati e di quanto lontano siano disposti a spingersi per ottenerli. In un’epoca in cui la privacy digitale è sempre più sotto attacco, gli utenti devono essere proattivi nella protezione dei propri dati personali.
La trasparenza e il consenso dovrebbero essere i pilastri di qualsiasi pratica di raccolta dati. Quando le aziende aggirano questi principi, minano la fiducia degli utenti e sollevano serie preoccupazioni etiche. Come consumatori, il nostro potere risiede nelle scelte che facciamo: quali app utilizziamo, quali autorizzazioni concediamo e quanto siamo disposti a scambiare la nostra privacy per la comodità.
