Recentemente, uma pesquisa realizada por instituições europeias revelou que a Meta, empresa por trás do Facebook e Instagram, juntamente com a Yandex, explorou uma vulnerabilidade no sistema Android para monitorar usuários. Essa prática foi possível através da interface “localhost”, uma conexão geralmente utilizada por desenvolvedores para testes, mas que foi adaptada para rastrear dados de navegação.
Os pesquisadores do Instituto IMDEA Networks, na Espanha, e da Universidade Radboud, na Holanda, descobriram que essa falha permitia que aplicativos com a permissão “Internet” abrissem um servidor local na interface de loopback. Isso possibilitava que o JavaScript executado em páginas da web se conectasse ao localhost, permitindo que dados como cookies e fingerprints fossem enviados diretamente para aplicativos como o Facebook.
Como funcionava o rastreamento?
A falha no Android permitia que qualquer aplicativo com a permissão “Internet” asse a interface localhost, sem a necessidade de permissões adicionais ou consentimento do usuário. Isso criava um canal de comunicação entre o navegador e o aplicativo, que poderia ser explorado por scripts carregados em sites. Dessa forma, o Facebook, Instagram e aplicativos da Yandex conseguiam monitorar usuários ao ar portas específicas no Android.
Os scripts do Meta Pixel e do Yandex Metrica, presentes em milhões de sites, enviavam dados diretamente para os aplicativos nativos, contornando o modo anônimo e algumas proteções de segurança do Android. Essa prática permitia um rastreamento cruzado entre web e aplicativos, dificultando o bloqueio por mecanismos comuns de segurança.

Quais medidas foram tomadas após a descoberta?
Após a divulgação da pesquisa, a Meta desativou o código responsável pelo envio dos dados e iniciou negociações com o Google para resolver a questão. O Google, por sua vez, implementou bloqueios parciais no Chrome para impedir esse tipo de rastreamento. Outros navegadores, como Brave e DuckDuckGo, também adotaram medidas preventivas para proteger os usuários.
A Yandex, que utiliza comunicações localhost desde 2017, afirmou que o recurso não coleta informações sensíveis e visa apenas aprimorar a personalização de seus aplicativos. No entanto, a pesquisa ainda não ou por uma revisão por pares, o que pode trazer novas informações sobre o caso.
O que isso significa para os usuários de iPhone?
Embora a pesquisa não tenha encontrado evidências de práticas semelhantes em dispositivos iPhone, os pesquisadores afirmam que algo similar é tecnicamente possível. Os navegadores no iOS são baseados no WebKit, que também permite conexões localhost. Isso sugere que, apesar de não haver provas concretas, a possibilidade de exploração existe.
As descobertas destacam a importância de medidas de segurança mais robustas para proteger a privacidade dos usuários, especialmente em um cenário onde a coleta de dados se torna cada vez mais sofisticada e invasiva.