Meta, il gigante dei social media, è al centro di una controversia per l’implementazione di un sistema avanzato che aggira le protezioni della privacy su Android. I ricercatori hanno identificato una tecnica nota come “localhost tracking“, che consente a Meta di collegare l’identità reale degli utenti alle loro attività online senza il loro consenso. Questo meccanismo ha attirato l’attenzione per la sua capacità di operare anche in presenza di misure protettive come VPN e modalità incognito.
Seguici su Google News
Ricevi i nostri aggiornamenti direttamente nel tuo feed di
notizie personalizzato
Seguici ora
La portata dello scandalo
I numeri parlano chiaro: circa il 22% dei siti web più visitati nel mondo sarebbe coinvolto in questo sistema. Negli Stati Uniti, oltre 17.000 siti dotati del Meta Pixel hanno attivato questa forma di tracciamento non autorizzata per almeno nove mesi, raggiungendo miliardi di utenti ignari delle pratiche in corso. La tecnica sfrutta due canali invisibili: le applicazioni Facebook e Instagram attive in background sui dispositivi mobili e gli script integrati nei browser web.
Quando un utente apre Facebook o Instagram, viene creato automaticamente un servizio in background che rimane attivo anche quando l’app non è utilizzata. Questo servizio ascolta specifiche porte locali sul dispositivo, consentendo la comunicazione con i server Meta senza alcun intervento dell’utente.
Leggi anche:
Il secondo aspetto del meccanismo si attiva quando l’utente visita un sito web dotato del Meta Pixel. Inizialmente progettato per raccogliere dati pubblicitari con consenso, lo script avvia immediatamente il processo di localhost tracking prima ancora che venga richiesta qualsiasi autorizzazione da parte dell’utente.
Tecniche utilizzate nel tracciamento
Il Pixel utilizza una tecnologia chiamata WebRTC, normalmente impiegata per le comunicazioni vocali e video online. Attraverso una modifica nota come “SDP Munging“, riesce a trasmettere cookie identificativi all’applicazione locale mentre invia simultaneamente i dati ai server Meta via internet.
Questo processo duplice permette a Meta non solo di ricevere informazioni dall’app locale ma anche dai server remoti contemporaneamente. Le informazioni raccolte includono URL visitati, metadati relativi al browser e al sistema operativo dell’utente e dettagli sugli eventi eseguiti durante la navigazione.
La combinazione tra cookie identificativi ricevuti dall’applicativo locale e quelli provenienti dal browser consente a Meta di costruire profili dettagliati degli utenti basandosi sulle loro attività online reali.
Implicazioni legali significative
Le conseguenze legali derivanti da queste pratiche sono gravi ed estese nella regolamentazione europea sulla privacy digitale. Attualmente, Meta affronta potenziali violazioni relative a tre normative principali: GDPR , Digital Services Act e Digital Markets Act .
La violazione del GDPR è evidente nella mancanza del consenso informato necessario per trattare i dati personali destinati alla pubblicità personalizzata; sanzioni possono arrivare fino al 4% del fatturato globale annuale dell’azienda. Il DSA introduce ulteriori complicazioni vietando esplicitamente la pubblicità personalizzata basata su categorie speciali senza consenso esplicito da parte degli utenti.
Il DMA rappresenta forse la sfida più seria poiché vieta specificamente la combinazione dei dati personali tra servizi core della piattaforma senza autorizzazione diretta dell’utente stesso; ciò include interconnessioni tra Facebook e Instagram ma potrebbe estendersi ad altre app come WhatsApp o Messenger.
Un panorama complesso della sorveglianza digitale
I dati raccolti tramite questo metodo forniscono a Meta una visione completa delle abitudini online degli utenti: cronologie dettagliate delle navigazioni con URL specifici visitati dagli stessi individui vengono collegate direttamente alle identità reali sui social network della compagnia.
Solo gli utenti che accedono esclusivamente tramite web senza installare app sui propri dispositivi sembrano sfuggire completamente a questo meccanismo invasivo; tutti gli altri diventano parte integrante del profilo pubblicitario costruito da Meta indipendentemente dalle misure adottate per mantenere l’anonimato durante la navigazione online.
Questa scoperta è frutto della ricerca condotta da esperti nel campo della sicurezza informatica che hanno documentato ogni aspetto tecnico delle violazioni riscontrate negli ultimi mesi; si stima infatti che tali tecniche siano state operative almeno negli ultimi nove mesi su vari sistemi operativi mobile.
Meta dovrà ora affrontare sia sanzioni economiche considerevoli sia dannose ripercussioni reputazionali derivanti dalla rivelazione quella potrebbe essere considerata una delle più gravi violazioni alla privacy mai registrate nella storia recente della tecnologia digitale europea.