Um grupo de programadores, engenheiros de softwares e especialistas em cibersegurança do Instituto IMDEA Networks, na Espanha, e da Universidade Radboud, na Holanda, elaboraram um relatório após identificar uma técnica que a Meta — dona do Facebook, Instagram e WhatsApp — usou para burlar as proteções de privacidade do Android. Segundo a pesquisa, publicada no última segunda-feira (2), em um curto período, a empresa de Mark Zuckerberg espionou milhões de usuários, muitos desses no Brasil.
Após o escândalo da Cambridge Analytica, em 2015, o relatório revelou o que parecia impossível: a empresa foi além dos seus questionáveis padrões (e com muita rapidez). E mais: a espionagem no Android contou com a presença da Rússia. Yandex, ou o Google da Rússia, burlou as proteções do Android e espionou usuários, conforme o relatório que expõe a ação da Meta.
Aliás, as duas empresas possuem uma história que tem muito a ver com as táticas da Meta. Em 2012, a Meta comprou uma startup de reconhecimento facial da Yandex que se tornou a finada DeepFace.
No ano anterior, a imprensa dos EUA revelou que o então Facebook usava cookies para espionar até mesmo pessoas que não eram usuários de suas plataformas.
Desconecte o telefone?
Após 14 anos, os cookies de monitoramento voltaram a aparecer, mas a Meta usou uma técnica muito mais sofisticada, de acordo com a descoberta dos pesquisadores de instituições europeias. Os cientistas descobriram um “corredor secreto” nos celulares com Android onde a Meta implementou um aplicativos nativos do Android que monitoravam localhosts.
O processo se aproveitava do mecanismo de comunicação interna dos dispositivos Android. O localhost permite que aplicativos e serviços se comuniquem no mesmo dispositivo. Em português, é como se você enviasse um email para si.
Os cientistas Aniketh Girish, Gunes Acar, Narseo Vallina-Rodriguez, Nipuna Weerasekara e Tim Vlummens foram responsáveis pela descoberta. O grupo criou o portal “Local Mess” (“Bagunça Local”), um trocadilho com localhost, revelando detalhadamente como a Meta espionou usuários do Android.
No entanto, a linguagem é muito técnica. Portanto, Giz Brasil vai usar analogias para te explicar como a Meta agiu para espionar os usuários do Android e por que isso é mais grave do que se imagina.
Como a Meta espionou usuários e por quanto tempo
Primeiramente, antes dos cookies da Meta, vamos aos termos técnicos: loopback, loophole, sandbox, TCP, UDP, STUN, TURN e WebRTC.
Agora, se você tem um celular com Android, imagine seu dispositivo como um condomínio em que cada aplicativo viva em uma casa.
Sandbox seria o lobby e porteiro ao mesmo tempo, impedindo que vizinhos bisbilhotarem correspondências alheias na caixa do correio. No entanto, a Meta criou outra caixa de correio secreta e colocou pequenos envelopes com cookies de rastreio para espionar os usuários do condomínio Android.
Como os cientistas destacam, o Android permite que qualquer aplicativo com permissões de internet acessem o endereço “loopback”, ou localhost. Lembra da analogia de enviar email? Então, navegadores também podem acessar esse endereço (127.0.0.1) e o Android não fornece alertas ou firewall sobre tráfego que não sai do dispositivo.
Mas em setembro de 2024, o script em Java “Meta Pixel”começou a espionar os usuários do Android pelo cookie fbp, criado pela Meta e presente em mais de cinco milhões de sites.
Aliás, o Brasil é o segundo país com mais sites que contam com esse cookie, incluindo grandes portais, como G1 e Globo Esporte. Mas, voltando ao processo, a Meta escondeu o cookie em pacotes STUN de WebRTC.
WebRTC é uma tecnologia de comunicações em vídeo para navegadores, enquanto STUN é o padrão que ajuda a descobrir as melhores rotas de redes.
Meta burlando falha no Google ou Google deixando Meta espionar?
A Meta interceptou seu próprio cookie, escondeu em pacotes WebRTC STUN e enviou os dados a portas UDPs 12580–12585 no localhost. Além disso, os pacotes ficaram em um campo obscuro do WebRTC chamado SDP, ou “Phone-setup form”.
A tática é a manipulação de SDP Parece grego, mas é basicamente a Meta forçando o navegador a lançar um pacote Stun em portas UDPs 12580–12585, curiosamente onde o Facebook ou Instagram espionavam os usuários.
Aliás, isso funcionava mesmo em modo anônimo ou em quem nunca logou no Facebook porque os sites com Meta Pixel serviam para a empresa espionar os usuários.
E o trocadilho? A meta da Meta era conectar os cookies de navegação dos usuários ao ID de Anúncios do Android, permitindo o monitoramento da navegação em celulares.
Com isso, a empresa poderia acessar seus dados de navegação, mesmo os anônimos, através de diferentes sites para criar um perfil mais elaborado e, obviamente, lucrar com seus dados.
Além das analogias, também tem o desenho que mostra como a Meta espionou os usuários. Imagem: Local Mess/Reprodução
De acordo com os cientistas, a Meta espionou centenas de milhões de usuários em apenas oito meses, algo comparável a colocar escutas em todos os telefones do estado de São Paulo.
Após o estudo expor mais um método controverso da Meta, a empresa anunciou a remoção do exploit na última terça-feira (3). Mas, a lição que fica é a de sempre: quando um serviço digital é gratuito, o produto é você.
Jornalista e mineiro. Já escreveu sobre tecnologia, games e ciência no site Hardware.com.br e outros sites especializados, mas gosta mesmo de falar sobre os Beatles.
fique por dentro das novidades giz
Inscreva-se agora para receber em primeira mão todas as notícias sobre tecnologia, ciência e cultura, reviews e comparativos exclusivos de produtos, além de descontos imperdíveis em ofertas exclusivas
