Tracciamento nascosto su Android: Meta e Yandex sfruttano socket locali per collegare browser e app?

Un’indagine tecnica indipendente ha rivelato un sofisticato sistema di tracciamento adottato da Meta (Facebook e Instagram) e Yandex (in diverse app proprietarie) che consente la comunicazione diretta tra script Web caricati nei browser mobili e le app native installate sullo stesso dispositivo Android. Secondo gli autori dello studio Local Mess, appartenenti a tre prestigiose istituzioni accademiche europee – IMDEA Networks Institute (Spagna), Radboud University (Paesi Bassi) e KU Leuven (Belgio) – il meccanismo azzera le protezioni privacy degli utenti, incluse la navigazione in incognito, la cancellazione dei cookie e i permessi del sistema operativo Android, permettendo il collegamento tra identità Web e account reali.

Come funziona il meccanismo di tracciamento: il ponte tra browser e app native

Tanto Meta quanto Yandex sfruttano la possibilità concessa da Android di aprire socket locali (sull’interfaccia 127.0.0.1) da parte di qualsiasi app dotata del permesso INTERNET. Da qui, gli script JavaScript — come Meta Pixel e Yandex Metrica — incorporati su milioni di siti, possono stabilire comunicazioni dirette con le app native (Facebook, Instagram, Yandex Maps, ecc.), trasferendo cookie e metadati che includono identificatori persistenti del dispositivo, come l’AAID (Android Advertising ID).

Questa architettura bypassa le sandbox di sicurezza previste nel modello Web e permette il tracciamento incrociato, creando una vera e propria mappatura dell’attività online dell’utente.

Gli accademici hanno precisato che a partire dal 3 giugno 2025, contestualmente con la pubblicazione della loro indagine, lo script Meta/Facebook Pixel non invia più alcun pacchetto o richiesta verso socket localhost. Il codice responsabile per l’invio di un apposito cookie (_fbp) è stato rimosso.

Il caso Meta: Pixel, WebRTC e trasmissione del cookie _fbp

Gli autori dell’indagine Local Mess spiegano che Meta utilizzava la tecnologia WebRTC per trasmettere il cookie di tracciamento _fbp attraverso pacchetti STUN modificati e trasferirlo ai socket UDP locali delle app di Facebook e Instagram, attive anche in background. Il cookie, tipicamente limitato al contesto del singolo sito (first-party), viene così ricevuto dall’app, che lo associa all’utente loggato, inviando il tutto ai server Meta tramite chiamate GraphQL.

Gli universitari affermano che a partire dal 17 maggio 2025, è stata osservata una nuova modalità basata su WebRTC TURN per bypassare restrizioni future. Sembra quindi essere un tentativo di aggirare le contromisure già preannunciate da Chrome.

Yandex: tracciamento via HTTP su socket locali dal 2017

Yandex, invece, utilizza connessioni HTTP e HTTPS su porte TCP specifiche (come 29009, 29010, 30102, 30103), con richieste originate dallo script Metrica a livello di sito Web. Le app native, trascorso un ritardo programmato, iniziano ad ascoltare su queste porte e rispondono con pacchetti contenenti gli identificativi nativi del dispositivo, codificati in Base64, poi raccolti dallo script Web e inviati ai server Metrica.

Diversamente dal caso Meta, qui è il codice JavaScript nel browser ad aggregare e trasmettere i dati, sempre sfruttando le app native come ponte verso informazioni di basso livello non accessibili dal browser stesso.

Rischi di sottrazione dati e abuso da parte di terzi

Particolarmente preoccupante è il fatto che queste comunicazioni su localhost, soprattutto nel caso Yandex (via HTTP), possano essere intercettate da altre app malevole installate sul dispositivo.

Il codice proof-of-concept sviluppato dai tecnici dimostra come app terze possano ascoltare passivamente il traffico e ricostruire la cronologia di navigazione, anche in modalità privata. Tra i browser testati, solo Brave e, in parte, DuckDuckGo, mostrano un comportamento di blocco efficace verso queste comunicazioni.

Diffusione del fenomeno e portata globale

Nell’analisi tecnica del fenomeno Local Mess, si spiega che da analisi incrociate effettuate avvalendosi di strumenti come BuiltWith e HTTP Archive:

• Meta Pixel è presente su oltre 5,8 milioni di siti (2,4 milioni confermati attivi).
• Yandex Metrica su circa 3 milioni di siti (575.000 attivi).

In una scansione mirata dei 100.000 siti più popolari al mondo, oltre il 75% dei siti che integrano Meta Pixel tentava comunicazioni con socket locali anche senza consenso dell’utente, sia in Europa che negli USA.

Conclusioni

Lo schema di tracciamento emerso e dettagliato con dovizia di particolari, dimostra l’urgenza di una revisione delle politiche di isolamento tra app su Android e accesso ai socket locali, oggi completamente non monitorati. È altrettanto urgente una risposta coordinata da parte dei produttori di browser, Autorità per la privacy e piattaforme mobili per:

• Bloccare o rendere esplicita la comunicazione tra siti Web e app via localhost.
• Rafforzare i meccanismi di isolamento degli identificatori pubblicitari.
• Garantire che ogni flusso dati tra contesti sia soggetto a consenso informato e tracciabile.

D’altra parte, gli autori di Local Mess insistono sul fatto che nessun’altra app di terze parti, diversa da quelle dei due vendor, si pone in ascolto sulle porte locali.