Nos últimos tempos, a privacidade digital tem sido um tema quente, e com razão. Recentemente, um grupo de investigadores revelou uma técnica de rastreio que tem sido utilizada por gigantes tecnológicos como Meta e Yandex, comprometendo a privacidade de milhões de utilizadores de dispositivos Android. Este artigo explora a técnica denominada ‘Local Mess’ e o seu impacto na nossa segurança digital.
O Que é ‘Local Mess’?
‘Local Mess’ é uma técnica de rastreio que permite a aplicações como Facebook e Instagram monitorizar a atividade dos utilizadores nos seus navegadores móveis. Através do uso de portas locais, estas aplicações conseguem “escutar” o que acontece nos navegadores instalados nos dispositivos Android, capturando metadados, cookies e comandos sem o conhecimento do utilizador.
O método envolve o carregamento silencioso de um código JavaScript, conhecido como Meta Pixel, que atua como um complemento nos navegadores móveis. Este código conecta-se a aplicações como Facebook ou Instagram, permitindo a recolha de identificadores de dispositivo, como o Android Advertising ID (AAID). Desta forma, as atividades do utilizador deixam de ser anónimas, podendo ser associadas a perfis reais nas redes sociais.
A Ineficácia das Medidas de Proteção
Uma das revelações mais preocupantes deste estudo é que métodos tradicionais de proteção, como o modo incógnito ou a eliminação de cookies, são ineficazes contra ‘Local Mess’. Este método “web-to-app” contorna estas medidas, abrindo a porta para que aplicações potencialmente maliciosas espiem a atividade web dos utilizadores.
A técnica ‘Local Mess’ não é apenas uma ameaça teórica. Com a utilização da cookie _fbp, Meta conseguiu implementar este método em mais de 5,8 milhões de sites, segundo dados da BuiltWith. Isto significa que uma vasta quantidade de dados de utilizadores foi potencialmente comprometida.
A Resposta dos Navegadores
Felizmente, os navegadores estão a tomar medidas para mitigar esta ameaça. Chrome já lançou um patch, enquanto Firefox e DuckDuckGo estão em processo de desenvolvimento de soluções. Brave, por outro lado, não foi afetado devido à sua política de bloqueio de scripts e à exigência de permissão explícita para comunicações com o localhost.
Em resposta à descoberta, Meta desativou a funcionalidade do Meta Pixel sem aviso prévio. A empresa está em conversações com o Google para resolver possíveis erros de comunicação relacionados com a aplicação das suas políticas. Yandex, por sua vez, afirmou que a função não recolhia informações sensíveis e que estava a ser eliminada para garantir o cumprimento das políticas da loja de aplicações do Google.
Este incidente levanta questões importantes sobre o futuro da privacidade digital. Com a crescente sofisticação das técnicas de rastreio, é essencial que os utilizadores estejam cientes dos riscos e que as empresas tecnológicas sejam responsabilizadas pelas suas práticas. A transparência e a regulamentação rigorosa serão cruciais para proteger os dados dos utilizadores num mundo cada vez mais digital.
