Meta beccata con le mani nel codice: così spiava milioni di utenti Android “anonimi”

Meta ci ricasca. Ancora una volta, l’azienda di Zuckerberg è al centro di uno scandalo legato alla privacy. Ma questa volta ha superato ogni limite: è riuscita a tracciare gli utenti Android anche quando facevano di tutto per non farsi tracciare. VPN? Inutile. Modalità in incognito? Superata. Cancellazione dei cookie? Ridicolo. Il trucco? Una tecnica geniale quanto inquietante: il cosiddetto “localhost tracking”.

A scoprirlo è stato un gruppo di ricercatori guidati dal professor Narseo Vallina-Rodriguez, e il meccanismo è tanto astuto quanto subdolo. Grazie alle app di Facebook e Instagram installate sugli smartphone Android, Meta attivava un servizio di rete locale che restava sempre in ascolto. Un piccolo “orecchio” digitale che, silenzioso e invisibile, riceveva dati dalla navigazione web dell’utente.

Ma come? Attraverso il Meta Pixel, quel piccolo frammento di codice presente in milioni di siti (inclusi quelli per adulti) che permette di monitorare ciò che facciamo online. Quando si visita una pagina che integra il Pixel — ad esempio perché c’è il pulsante “like” o “condividi su Facebook” — entra in gioco il trucco.

Il pixel invia un messaggio attraverso il protocollo WebRTC, lo stesso usato per le videochiamate su Meet o Zoom. Ma i dati non vengono mandati in chiaro: vengono camuffati all’interno del messaggio iniziale del protocollo (tramite una tecnica chiamata SDP Munging), così da risultare invisibili ai controlli. In questo modo, il sistema locale attivo sul telefono riceve informazioni anche in assenza di cookie attivi o autorizzazioni esplicite.

La genialata (illecita) sta nel fatto che i dati raccolti — apparentemente anonimi — vengono poi riconciliati con l’identità reale dell’utente. Come? Semplice: l’app, già autenticata con nome e cognome, prende quell’identificativo ricevuto dal Pixel e lo collega all’account personale. Risultato? Anche se stai navigando su un sito “sensibile” in incognito, Meta può dire con certezza che tu, Mario Rossi, hai appena visitato quella pagina. Senza il tuo consenso.

• Chat Control e Protect EU: la distopia digitale che l’Europa vuole imporci

Questa pratica viola tre normative europee contemporaneamente: il GDPR, il Digital Services Act (DSA) e il Digital Markets Act (DMA).

• Il GDPR richiede consenso esplicito per la raccolta e l’uso dei dati personali.
• Il DSA vieta la pubblicità mirata basata su dati sensibili.
• Il DMA proibisce la combinazione di dati tra piattaforme (come Facebook e Instagram) senza un consenso chiarissimo.

Il danno? Enorme. Si parla di milioni di utenti tracciati a loro insaputa, con informazioni che spaziano dalla cronologia web ai prodotti aggiunti al carrello, dalle registrazioni online ai comportamenti tra app e siti, tutto riconducibile a identità reali.

Secondo le stime, il 25% dei siti più visitati al mondo contiene il Meta Pixel. Una volta attivato il “localhost tracking”, bastavano pochi secondi di navigazione per profilare l’utente in modo completo.
E non è un’esclusiva Meta: anche Yandex, colosso russo, utilizzerebbe una tecnica simile da oltre 8 anni.

La beffa finale?
Il sistema non funziona su iOS: le limitazioni di Apple sull’esecuzione in background lo rendono inefficace sugli iPhone. I ricercatori non hanno trovato tracce simili su dispositivi Apple, ma hanno iniziato a indagare su smart TV e sistemi desktop, dove potrebbero esserci sorprese.

• Fino al 4% del fatturato globale per violazione del GDPR.
• Fino al 10% per il DSA.
• Fino al 20% per violazioni ripetute del DMA. Parliamo di miliardi di euro.

Meta, nel frattempo, ha rimosso la componente attiva del Pixel dai siti web. Ma la parte in ascolto sulle app resta viva e vegeta — almeno fino a un aggiornamento delle app stesse.

Un comportamento così deliberato e sfacciato solleva un’unica domanda: quante altre aziende stanno facendo lo stesso, ma non sono ancora state scoperte?

Fonte

• WhatsApp sotto attacco: attenzione a chiamate e messaggi da numeri sconosciuti

• Google News: bit.ly/gurugooglenews
• Telegram: t.me/guruhitech
• X (Twitter): x.com/guruhitech1
• Bluesky: bsky.app/profile/guruhitech.bsky.social
• GETTR: gettr.com/user/guruhitech
• Rumble: rumble.com/user/guruhitech
• VKontakte: vk.com/guruhitech
• MeWe: mewe.com/i/guruhitech
• Skype: live:.cid.d4cf3836b772da8a
• WhatsApp: bit.ly/whatsappguruhitech

Che ne pensi di questa notizia? Lascia un commento nell’apposita sezione che trovi più in basso e se ti va, iscriviti alla newsletter.

Per qualsiasi domanda, informazione o assistenza nel mondo della tecnologia, puoi inviare una email all’indirizzo guruhitech@yahoo.com.