Localhost tracking: cos'è e perché potrebbe costare a Meta 32 miliardi

Una vulnerabilità strutturale di Android, sfruttata con estrema astuzia tecnica, ha permesso a Meta di aggirare ogni barriera immaginabile per la protezione dei dati, arrivando a tracciare miliardi di utenti anche quando navigavano in incognito, utilizzavano una VPN e avevano rifiutato o cancellato i cookie. Questa pratica — denominata “localhost tracking” — rappresenta una delle più gravi e sofisticate violazioni del Regolamento Generale sulla Protezione dei Dati (GDPR), del Digital Services Act (DSA) e del Digital Markets Act (DMA). A sostenerlo è Jorge García Herrero, avvocato spagnolo specializzato in diritto societario e, soprattutto, nella protezione dei dati personali.

Herrero è noto come “GDPR Evangelist“, è Data Protection Officer (DPO) e consulente per aziende nazionali e internazionali, in particolare nei settori farmaceutico, piattaforme Internet, reputazione aziendale, automotive e retail.

Secondo una prima stima condivisa proprio da Herrero, Meta potrebbe incorrere in una serie di sanzioni che, cumulate, potrebbero arrivare fino a 32 miliardi di euro.

Che cos’è il localhost tracking?

Con l’espressione localhost tracking si fa riferimento a un meccanismo di comunicazione tra app e browser Web basato sull’utilizzo di porte di rete locali, progettato per bypassare le restrizioni della sandbox Android. Meta ha integrato questa tecnica nel tracciamento via Meta Pixel, consentendo a Facebook e Instagram di intercettare dati di navigazione anche in assenza di login nel browser e senza alcun consenso informato.

In sintesi:

• Il browser invia dati a un’app installata (i.e. Facebook), attiva in background, sfruttando WebRTC e manipolazioni SDP (Munging).
• L’app riceve questi dati attraverso porte TCP/UDP locali e li collega all’identità reale dell’utente.
• I dati sono quindi inoltrati ai server di Meta tramite GraphQL, includendo ID, attività Web, parametri del dispositivo e metadati contestuali.

Del tracciamento nascosto su Android di Meta e Yandex (anche l’azienda russa ha usato meccanismi di tracking molto simili) avevamo già parlato in un articolo dedicato. Ci torniamo sopra per approfondire l’argomento e raccogliere un punto di vista autorevole come quello di Herrero.

Il flusso tecnico del local tracking in 5 fasi

Sebbene Meta abbia interrotto la pratica del local tracking a partire dal 3 giugno scorso, come confermano gli autori dello studio Local Mess, Herrero conferma che la tecnica precedentemente adottata ha permesso di eluso i presìdi fondamentali di tutela della privacy:

• Isolamento tra app e browser previsto dal sistema operativo Android.
• Obbligo di consenso informato per la raccolta dati (GDPR).
• Separazione tra identità Web e identità utente.
• Modalità di navigazione privata.

Le app Facebook e Instagram, una volta avviate, mantenevano attivi servizi in background che ascoltavano il traffico locale sulle porte TCP (12387/12388) e UDP (12580–12585). Questo comportamento, apparentemente lecito, apre un canale interno tra browser e app.

L’utente naviga in incognito, ma non basta

Aprendo un sito Web che integra il Meta Pixel, l’utente poteva essere in ogni caso tracciato. Il Pixel, inserito nel sorgente HTML delle pagine Web, avviava immediatamente la raccolta dati, prima ancora che venga richiesto il consenso, se mai viene richiesto.

Il browser e l’app comunicavano quindi attraverso WebRTC, una tecnologia normalmente usata per videochiamate, ma qui riadattata per trasmettere dati di altro genere. Con un’accortezza tecnica chiamata SDP Munging, l’identificatore _fbp (cookie di sessione) era inserito nella segnalazione iniziale costruita in seno alla connessione WebRTC e ricevuto dall’app installata sul terminale Android.

Il Meta Pixel, contemporaneamente, inviava i dati ai server di Meta tramite HTTPS. Le informazioni includono:

1. L’URL visitato
2. Il tipo di azione compiuta (es. visualizzazione, acquisto)
3. Metadati di browser e dispositivo
4. Il cookie _fbp

Associazione dell’identità reale

L’app, una volta ricevuto il cookie _fbp, lo combinava con l’account Facebook o Instagram attivo. I dati erano poi automaticamente girati a Meta tramite GraphQL, query language per le API e runtime che consente ai client di ottenere esattamente i dati di cui hanno bisogno, unendo così l’attività di navigazione a un’identità specifica. Questo permette a Meta di conoscere le abitudini online anche quando l’utente ha deliberatamente cercato di restare anonimo.

Herrero osserva che la società di Zuckerberg avrebbe infranto il principio della separazione dei contesti digitali, creando un ponte tra il comportamento nel browser e l’identità nell’app. Il tutto all’insaputa degli utenti.

L’entità della violazione

Stando alle verifiche sin qui svolte, la tecnica localhost tracking sarebbe stata sfruttata da Meta per almeno 9 mesi, coinvolgendo:

• Il 22% dei siti Web più visitati al mondo
• Oltre 17.000 siti statunitensi (Meta Pixel)
• Più di 1.300 siti con Yandex Metrica (in parallelo)

Il rischio sanzionatorio: multa da 32 miliardi in arrivo?

Herrero prende la calcolatrice e fa un po’ di conti. Basandosi sulle normative più aggiornate vigenti nell’Unione Europea, la società di Zuckerberg potrebbe doversi trovare a sostenere sanzioni amministrative particolarmente salate:

• GDPR: fino al 4% del fatturato globale per mancato consenso e presunta profilazione illecita.
• DSA: fino al 6% per violazione sistematica degli obblighi di trasparenza e sicurezza degli utenti.
• DMA: fino al 10% per abuso di posizione dominante, mancata interoperabilità e autointegrazione dei servizi.

Il totale massimo teorico potrebbe quindi ammontare a circa 32 miliardi di euro, pari al 20% del fatturato 2024 di Meta (oltre 164 miliardi).