Meta e Yandex exploraram falha no Android para rastrear usuários

Uma pesquisa realizada por especialistas do Instituto IMDEA Networks, na Espanha, e da Universidade Radboud, na Holanda, revelou que a Meta e a empresa russa Yandex exploraram uma falha no sistema Android para rastrear usuários. O esquema utilizava uma brecha na interface chamada "localhost", normalmente usada por desenvolvedores, para coletar dados de navegação sem o consentimento dos usuários, mesmo quando estavam com proteções como o modo anônimo ativadas.

O mecanismo funcionava da seguinte forma: aplicativos como Facebook, Instagram e ferramentas da Yandex abriam servidores locais no próprio dispositivo Android. Por meio de códigos JavaScript carregados em sites parceiros — como o Meta Pixel e o Yandex Metrica —, esses apps conseguiam acessar cookies, identificadores e outros dados sensíveis diretamente do navegador, burlando as permissões de segurança do sistema. Isso criava um canal oculto entre o app e o navegador, funcionando como uma coleta invisível.

Os pesquisadores alertam que o problema tinha alcance massivo. O Meta Pixel está presente em mais de 5,8 milhões de sites, enquanto o Yandex Metrica aparece em quase 3 milhões. Dessa forma, o rastreamento cruzado entre apps e navegação na web acontecia de forma ampla e praticamente impossível de ser percebida pelos usuários. A pesquisa não encontrou o mesmo tipo de vulnerabilidade no iPhone, embora afirme que algo semelhante seria tecnicamente viável.

Diante da denúncia, a Meta desativou o recurso e removeu o código responsável pela coleta, alegando tratar-se de uma “falha de comunicação” com o Google, que já implementou bloqueios parciais no Chrome. Navegadores focados em privacidade, como Brave e DuckDuckGo, também adotaram medidas para impedir o rastreamento. Já a Yandex confirmou o uso do localhost desde 2017, mas alegou que a função não coleta informações sensíveis, servindo apenas para melhorar a personalização dos seus aplicativos.