Descubrimiento de espionaje en dispositivos Android​

Un equipo internacional de investigadores ha revelado que Facebook estuvo espiando de forma secreta la navegación web de usuarios de Android, incluyendo aquellos con teléfonos Samsung Galaxy, desde septiembre del año pasado. Esta práctica cesó únicamente después de que los investigadores hicieran pública la información.

Método que eludía las medidas de privacidad comunes​

Lo preocupante es que este método encubierto evitaba las acciones de privacidad que muchos usuarios suelen tomar, como el uso del modo incógnito o la limpieza de cookies. Además, dejaba abierta la posibilidad para que aplicaciones maliciosas hicieran un seguimiento similar de la actividad web de los usuarios.

Mientras los usuarios estuvieran conectados en las aplicaciones de Facebook o Instagram en sus dispositivos, todo su historial de navegación podía vincularse a su cuenta, lo que permitía a Meta, la empresa matriz de Facebook, ofrecer anuncios más personalizados.

Uso del Meta Pixel para rastrear la navegación​

Esta técnica involucraba el uso del Meta Pixel, una herramienta externa de seguimiento instalada en más de 5,8 millones de sitios web. Este pixel se utiliza para mostrar anuncios dirigidos a través de las aplicaciones de Meta. Por ejemplo, si buscabas un par de zapatos en la web de una marca, luego podrías recibir anuncios de esa marca en Facebook o Instagram.

Meta desarrolló un sistema que permitía a sus aplicaciones en Android extraer metadatos, cookies y comandos del navegador a partir del pixel incrustado en los sitios web. Para ello, explotó una función que permite a las aplicaciones Android ejecutar un servidor para intercambiar archivos. Los scripts se cargaban en el navegador del usuario y se conectaban silenciosamente con las aplicaciones de Meta en el dispositivo mediante sockets localhost.

Consecuencias para la privacidad del usuario​

Esto permitió a Meta vincular las sesiones de navegación y las cookies web con las identidades de los usuarios, siempre que estuvieran conectados a sus aplicaciones, eliminando el anonimato de quienes visitaban sitios con el Pixel instalado. Gunes Acar, uno de los investigadores que descubrió esta práctica, destacó que “Meta nunca informó esto, ni a los usuarios ni a los propietarios de los sitios web con este programa de rastreo”.

Respuesta de Google y acciones tomadas​

Google expresó su descontento calificando esta acción como una “flagrante violación de nuestra política de seguridad y privacidad”. Además, anunció que prepara una actualización para Chrome que impedirá esta práctica. Los desarrolladores deben cumplir con las políticas de Google para tener sus aplicaciones en la Play Store, y Meta está en conversaciones con Google para aclarar lo que llama un “malentendido en la aplicación de la política”.

Retirada del código y lecciones aprendidas​

Los investigadores comprobaron que Meta ha eliminado casi por completo el código que permitía este espionaje, aunque solo después de que se hicieran públicas sus conclusiones. Este caso es un claro ejemplo de “pedir perdón en lugar de permiso” y nos recuerda que las empresas que basan sus negocios en la publicidad online harán todo lo posible para rastrear a los usuarios por cualquier medio.

Fuente: Facebook was spying on your Galaxy phone's web browsing since September