Miles de millones de usuarios han estado expuestos a un sistema de rastreo y espionaje masivo que han usado las empresas Meta y Yandex. Ambas empresas han usado una técnica que se aprovechaba de aplicaciones nativas como Facebook o Instagram para monitorizar todo lo que hacíamos con nuestros navegadores móviles. Es una gota más de un vaso ya absolutamente colmado: el de los ataques a nuestra privacidad.
Un grupo de investigadores de la agencia IMDEA Networks y la Radboud Universiteit de Países Bajos, liderados por los profesores Gunes Acar y Narseo Vallina-Rodríguez, publicaron un extenso artículo técnico. En él, desvelan la técnica que han bautizado como 'Local Mess' ('Lío Local') y que Meta ha estado usando desde septiembre de 2024 y Yandex desde 2017.
El seguimiento encubierto en Meta Pixel y Yandex Metrica, permite que Meta y Yandex omitan las protecciones de seguridad y privacidad proporcionadas tanto por el sistema operativo Android como por los navegadores que se ejecutan en él.
"Uno de los principios de seguridad fundamentales que existe en la web, como el sistema móvil, se llama sandboxing", dijo Nardiso Vallina-Rodríguez, uno de los investigadores detrás del descubrimiento, en una entrevista. "Este vector de ataque permite romper el sandbox que existe entre el contexto móvil y el contexto web. El canal que existe todo el sistema Android para comunicar lo que feliz en el navegador con la identidad que se ejecuta en la aplicación móvil". Android Sandboxing, por ejemplo, aísla procesos para evitar que el dispositivo interactúe con cualquier aplicación instalada, reduciendo el acceso a datos confidenciales o recursos de sistema privilegiados.
El bypass descripto permite que las compañías pasen cookies desde navegadores a aplicaciones nativas de Android como Facebook, Instagram y varias aplicaciones de Yandex. Así, cuando el usuario inicia su sesión, las compañías pueden tener el vasto historial de navegación del titular de la cuenta.
¿Qué hace 'Local Mess'?
Nos centraremos en Meta y sus aplicaciones, aunque el método es análogo en Yandex. Los usuarios de Android que hagan uso de aplicaciones como Facebook o Instagram podían estar expuestos, porque esas aplicaciones "escuchaban" lo que pasaba en los navegadores instalados en nuestros móviles haciendo uso de puertos locales (de ahí lo de 'Local Mess') con el objetivo de rastrear y monitorear todo lo que hacíamos en el navegador.
El usuario no se enteraba de nada. El método permitía que esas aplicaciones lograran recibir metadatos, cookies y comandos que se ejecutaban en los navegadores. El código JavaScript de Meta, llamado Meta Pixel, se cargaba de forma silenciosa y sin avisar como una especie de complemento de los navegadores móviles, y se conectaba a aplicaciones como Facebook o Instagram.
Desanonimizando a los usuarios. Como explican los investigadores, el método permitía acceder a los identificadores de dispositivo que se usan para los sistemas publicitarios, llamados Android Advertising ID (AAID), y eso hacía que fuera posible asociar todo lo que hacía el usuario a una identidad real (un perfil de Facebook o Instagram). El resultado: lo que hacíamos en el navegador ya no era anónimo ni privado.
Ni Modo Incógnito, ni borrar cookies ni nada. Este método "web-to-app" elude sistemas que teóricamente deberían proteger este tipo de rastreo. Así, ni borrar las cookies, ni navegar en modo incógnito funcionaba a la hora de intentar escapar de ese rastreo. De hecho, el método "abre la puerta a que aplicaciones potencialmente maliciosas espíen la actividad web de los usuarios", explican en el documento.
Los scripts de Meta y Yandex son ligeramente distintos, pero ambos hacen un uso indebido del acceso no autorizado a los sockets de nuestro localhost, el nombre reservado que tiene nuestro dispositivo en la red local y que siempre es la dirección IP loopback 127.0.0.1 (en IPv4). El sistema operativo Android permite a cualquier aplicación instalada, y con el permiso INTERNET, abrir un socket de escucha en la interfaz loopback. Los navegadores que se ejecutan en el mismo dispositivo también acceden a esta interfaz sin el consentimiento del usuario o la mediación de la plataforma. Esto permite que un código JavaScript incrustado en las páginas web se comunique con aplicaciones nativas de Android y comparta identificadores y actividad de navegación.
Millones de sitios web afectados. Para que el método funcionara Meta aprovechaba su cookie "_fbp", muy extendida en sitios web que hacen uso de publicidad de esta plataforma. Según BuiltWith, una web que permite monitorizar la adopción de distintas tecnologías, ese Meta Pixel está embebido en más de 5,8 millones de sitios web. Hay un buscador en la parte final del estudio que permite saber si un sitio web estaba expuesto y la actividad en él podía quedar registrada por estos scripts.
Teóricamente, solo en Android. Los investigadores revelan que sólo lograron obtener pruebas empíricas de esta técnica en móviles Android. No han observado tal problema en navegadores en iOS o en las aplicaciones que evaluaron, aunque señalan que técnicamente lograr hacer algo así en los iPhones es factible.
Los navegadores se protegen. Los responsables del descubrimiento han seguido una política de comunicación responsable de vulnerabilidades y se han puesto en contacto con varios desarrolladores de navegadores. Chrome ya tiene preparado el parche; el de Firefox está en desarrollo (pero parece no estar expuesto al problema); DuckDuckGo ya lo ha resuelto y; Brave no estaba afectado al usar una lista de bloqueo y al requerir permiso explícito del usuario para las comunicaciones con el localhost. No hay información sobre el progreso del parche en Microsoft Edge, que sí estaba afectado.
Y Meta ha desactivado esa opción sin más. Aunque los navegadores hayan tomado medidas, estas llegan tarde. No porque no haya solución o el código se haya modificado, sino porque Meta ha decidido dejar de usarlo sin decir nada. El script Meta Pixel dejó de enviar paquetes o de realizar peticiones a localhost. El código responsable de enviar esa cookie "_fbp", señalan en una actualización en este informe, ha sido casi completamente eliminado.
¿Por qué Meta hizo esto? Hay una hipótesis sobre la puesta en marcha de esta técnica por parte de Meta: podría deberse a cómo Google tenía la intención de librarse de las cookies de terceros en Chrome en algún momento en 2024. Eso hubiera afectado a empresas como Meta, que quizás habría reaccionado tratando de recabar esa información con esta técnica para poder tener un plan B si las cookies desaparecían.
Fuente: ArsTechnica | Xataka