Pesquisadores da agência IMDEA Networks e da Universidade Radboud descobriram uma técnica de espionagem digital utilizada pela Meta que afetou milhões de usuários Android durante meses.
O método, batizado de “Local Mess”, permitia que aplicativos como Facebook e Instagram monitorassem secretamente toda a navegação web dos usuários através de portas locais do dispositivo.
Enquanto se abre a discussão no Brasil sobre o direito individual de venda de dados pessoais, mais um caso de espionagem em massa é registrado. E mais uma vez, é a plataforma de Mark Zuckerberg que está envolvida na prática.
Vamos entender melhor o que aconteceu dessa vez.
Como funcionava o “Local Mess”
A técnica funcionava de forma completamente invisível aos usuários, ou seja, sem o conhecimento ou o consentimento do proprietário da conta sobre a coleta de dados em massa.
O código JavaScript da Meta, conhecido como Meta Pixel, carregava silenciosamente nos navegadores móveis e estabelecia conexão com os aplicativos instalados no dispositivo. Através dessa comunicação, a empresa conseguia capturar metadados, cookies e comandos executados durante a navegação, burlando proteções como modo incógnito e exclusão de cookies.
O esquema de rastreamento explorava uma vulnerabilidade do sistema Android, já que qualquer aplicativo com permissão de internet pode abrir um socket de escuta na interface loopback (127.0.0.1), permitindo que códigos JavaScript em páginas web se comuniquem com aplicativos nativos.
Dessa forma, a Meta conseguia acessar identificadores únicos do dispositivo, como o Android Advertising ID, associando toda a atividade de navegação à identidade real do usuário.
A descoberta revelou que o Meta Pixel estava incorporado em mais de 5,8 milhões de sites, incluindo portais de notícias e plataformas de comércio eletrônico.
Isso significa que praticamente toda a navegação móvel dos usuários Android com aplicativos da Meta instalados estava sendo monitorada sem consentimento.
Não é uma técnica completamente desconhecida dentro do meio informático, já que a empresa russa Yandex também implementava um método similar desde 2017, afetando outros 3 milhões de sites.
Os investigadores conseguiram demonstrar que nem VPN, nem modo incógnito, nem exclusão de cookies ofereciam proteção contra esse tipo de rastreamento.
O método “web-to-app” contornava todas as medidas de proteção convencionais, expondo completamente a privacidade digital dos usuários. A única defesa efetiva era não ter os aplicativos instalados no dispositivo.
Como os pesquisadores descobriram tudo isso
A descoberta acadêmica começou quando um professor detectou conexões inusuais com portas locais ao analisar rastreadores na web universitária. O que parecia um caso isolado revelou-se um sistema global de espionagem digital que operava há meses sem detecção.
A investigação envolveu múltiplas universidades europeias e resultou em uma das mais importantes revelações sobre privacidade digital dos últimos anos.
Os pesquisadores criaram uma ferramenta online que permite verificar se sites específicos estavam comprometidos pelo sistema de rastreamento. O software revela que milhares de sites populares, incluindo portais de notícias, plataformas de e-commerce e redes sociais, incorporavam inadvertidamente o código de espionagem através do Meta Pixel.
A motivação por trás da implementação dessa técnica pode estar relacionada aos planos do Google de eliminar cookies de terceiros no Chrome. Antecipando a perda de métodos tradicionais de rastreamento, a Meta teria desenvolvido essa alternativa mais invasiva para manter sua capacidade de monitoramento publicitário e coleta de dados em massa.
Meta desativou o recurso, mas é sempre bom desconfiar
Após a publicação da pesquisa, a Meta desativou imediatamente a funcionalidade sem comunicado oficial, alegando apenas estar em conversas com o Google para resolver “possível mal-entendido sobre políticas”. A empresa não forneceu explicações públicas sobre os meses de coleta não autorizada de dados ou sobre as implicações legais dessa prática.
Os desenvolvedores de navegadores reagiram rapidamente aos fatos revelados pela investigação.
O Chrome já preparou correções de segurança para migitar a prática, enquanto a Mozilla (dona do Firefox) está desenvolvendo patches específicos. O DuckDuckGo solucionou a vulnerabilidade, e o Brave já estava protegido por suas políticas mais restritivas de permissões. O Microsoft Edge, que também estava vulnerável, não divulgou cronograma para correções.
A técnica levanta sérias questões sobre conformidade com regulamentações de proteção de dados, especialmente na União Europeia. O método operava sem consentimento dos usuários e sem transparência para administradores de sites, violando princípios fundamentais do RGPD. Especialistas em privacidade digital classificaram a prática como uma das mais invasivas já documentadas.
Para os usuários, a descoberta reforça a importância e real necessidade de revisar as permissões de aplicativos e considerar alternativas focadas em privacidade. A situação também destaca a necessidade de maior transparência e responsabilização por parte das grandes empresas tecnológicas, algo que infelizmente não está acontecendo ultimamente.
Navegadores como o Brave, que implementam políticas mais restritivas por padrão, ofereceram melhor proteção contra esse tipo de ataque. Fica a dica para os mais precavidos ou preocupados.
Como usuários, isso é o que podemos fazer (ou pelo menos o que mais recomendo diante de casos como esse:
- Limite as permissões do seu aplicativo no Android.
- Evite usar aplicativos Meta, a menos que seja absolutamente necessário.
- Considere usar navegadores focados em privacidade, como o Brave.
- Use ferramentas de bloqueio de rastreadores.
- Verifique quais sites usam o Meta Pixel para evitá-los (os pesquisadores até criaram um mecanismo de busca para essa finalidade).