Un’indagine tecnica condotta da esperti di tre istituzioni accademiche europee ha svelato un avanzato meccanismo di tracciamento utilizzato da Meta e Yandex. Questo sistema consente una comunicazione diretta tra i browser mobili e le app native installate sui dispositivi Android, eludendo le protezioni della privacy degli utenti. Lo studio, intitolato “Local Mess“, mette in evidenza come questo metodo possa compromettere la sicurezza dei dati personali.
Seguici su Google News
Ricevi i nostri aggiornamenti direttamente nel tuo feed di
notizie personalizzato
Seguici ora
Come funziona il meccanismo di tracciamento
Meta e Yandex sfruttano una funzionalità offerta dal sistema operativo Android che permette alle app dotate del permesso INTERNET di aprire socket locali sull’interfaccia 127.0.0.1. Attraverso questa opportunità, gli script JavaScript come Meta Pixel e Yandex Metrica possono stabilire comunicazioni dirette con le applicazioni native installate sul dispositivo, inclusi Facebook, Instagram e Yandex Maps.
Questa architettura consente il trasferimento non autorizzato di cookie e metadati contenenti identificatori persistenti del dispositivo, come l’AAID . Di fatto, il sistema bypassa le misure di sicurezza previste nel modello Web tradizionale, permettendo un monitoraggio incrociato delle attività online dell’utente.
Leggi anche:
Gli autori dello studio hanno segnalato che a partire dal 3 giugno 2025 lo script Meta/Facebook Pixel non invia più pacchetti verso socket localhost; è stato rimosso anche il codice responsabile per l’invio del cookie _fbp. Questa modifica arriva in risposta alle crescenti preoccupazioni riguardo alla privacy degli utenti.
Il caso Meta: tecnologie utilizzate per il tracciamento
Secondo gli autori dell’indagine “Local Mess“, Meta ha impiegato la tecnologia WebRTC per trasmettere il cookie _fbp attraverso pacchetti STUN modificati ai socket UDP locali delle app Facebook e Instagram attive anche in background. In questo modo, un cookie normalmente limitato al contesto del singolo sito viene ricevuto dall’applicazione nativa associata all’utente loggato; successivamente i dati vengono inviati ai server Meta tramite chiamate GraphQL.
Dalla metà di maggio 2025 è stata osservata una nuova modalità basata su WebRTC TURN che sembra mirare a superare eventuali restrizioni future già annunciate da Chrome. Questo cambiamento suggerisce tentativi continui da parte della società per aggirare misure preventive contro pratiche invasive sulla privacy.
Tracciamento via HTTP: la strategia adottata da Yandex
A differenza della strategia adottata da Meta, Yandex utilizza connessioni HTTP su porte TCP specifiche per effettuare richieste dallo script Metrica presente nei siti web visitati dagli utenti. Le app native iniziano ad ascoltare queste porte dopo un breve ritardo programmato ed inviano risposte contenenti identificativi nativi codificati in Base64 allo script web presente nel browser dell’utente.
In questo scenario particolare è lo stesso codice JavaScript nel browser a raccogliere ed aggregare i dati provenienti dalle app native; ciò avviene senza alcun accesso diretto al livello informativo più profondo disponibile solo tramite queste applicazioni stesse.
Rischi legati alla sottrazione dei dati
Un aspetto particolarmente allarmante riguarda la possibilità che tali comunicazioni su localhost possano essere intercettate da altre applicazioni malevole presenti sullo stesso dispositivo mobile. I ricercatori hanno sviluppato un codice proof-of-concept dimostrando come terze parti possano ascoltare passivamente queste interazioni tra browser ed app nativa, ricostruendo così anche cronologie di navigazione private.
Tra i vari browser testati nell’ambito dello studio solo Brave ha mostrato capacità efficaci nel bloccare tali comunicazioni indesiderate; DuckDuckGo offre parzialmente simili livelli protettivi ma non sempre riesce ad evitare completamente questi scambi problematici.
Portata globale del fenomeno
L’analisi condotta dai ricercatori ha rivelato dimensioni impressionanti riguardo alla diffusione dei sistemi descritti nello studio “Local Mess“: si stima infatti che oltre 5 milioni di siti web integrino già Meta Pixel con circa 2 milioni attivi confermati, mentre circa 3 milioni ospitano lo strumento Metrica fornito da Yandex con almeno mezzo milione operativi al momento attuale.
Nella scansione mirata sui siti più popolari globalmente emerge chiaramente che oltre il 75% dei portali integranti Meta Pixel tenta comunicazioni con socket locali senza alcun consenso esplicito degli utenti sia negli Stati Uniti sia in Europa.