News

Meta sotto Accusa: Il “Localhost Tracking” che Ha Aggirato la Privacy

Foto di Salvatore L. Salvatore L.4 settimane fa
0 632
immagine che mostra logo meta

Meta ha escogitato un sistema sofisticato e invisibile per aggirare le protezioni di privacy integrate nell’architettura Android, permettendo al colosso dei social media di collegare l’identità reale degli utenti alle loro attività di navigazione web.

Questa tecnica, ribattezzata “localhost tracking” dai ricercatori che l’hanno scoperta, ha funzionato indipendentemente dalle precauzioni adottate dagli utenti, come l’utilizzo di VPN, la modalità incognito o il rifiuto sistematico dei cookie.

Una Sorveglianza Digitale Senza Precedenti

La portata di questa operazione di sorveglianza è sbalorditiva. Il 22% dei siti web più visitati al mondo è risultato coinvolto nel sistema. Solo negli Stati Uniti, oltre 17.000 siti web equipaggiati con Meta Pixel hanno attivato questo tracciamento senza consenso per almeno nove mesi, raggiungendo miliardi di utenti inconsapevoli. Il meccanismo sfruttava due canali di comunicazione invisibili:

  • App Facebook e Instagram in background: Queste app rimanevano attive sui dispositivi mobili.
  • Script di tracciamento integrati nei browser: Il Meta Pixel creava un ponte di dati che bypassava completamente le protezioni del sistema operativo Android.

Come Funzionava il Meccanismo

La genialità di questa tecnica risiede nella sua capacità di far dialogare componenti che dovrebbero rimanere isolati.

  1. Attivazione del Servizio in Background: Quando un utente apriva Facebook o Instagram, l’applicazione creava automaticamente un servizio in background in ascolto su specifiche porte di rete locali (12387 o 12388 per TCP, e la prima porta disponibile nell’intervallo 12580-12585 per UDP). Questo si attivava solo se l’utente aveva effettuato l’accesso, ma una volta stabilito, continuava a funzionare anche quando l’app non era in uso.

  2. Meta Pixel e WebRTC: Visitando un sito web con Meta Pixel, lo script iniziava immediatamente il localhost tracking, ancora prima che venisse richiesta qualsiasi autorizzazione. Il Pixel utilizzava una tecnica chiamata WebRTC (normalmente usata per chiamate vocali e video), modificandola tramite un processo chiamato “SDP Munging” per trasmettere il cookie identificativo _fbp direttamente all’app Meta in ascolto.

  3. Combinazione dei Dati: L’elemento più inquietante era la sua duplice natura:

    • Il Pixel inviava segretamente le informazioni all’app locale.
    • Contemporaneamente, trasmetteva gli stessi dati ai server di Meta via internet (URL visitato, metadati del browser e del sistema operativo, tipo di evento).

    L’app riceveva il cookie _fbp e lo combinava immediatamente con gli identificativi persistenti dell’account reale dell’utente, inviando il tutto ai server Meta tramite una mutazione GraphQL. Ciò consentiva a Meta di costruire un profilo utente completo e dettagliato.

Implicazioni Legali e Sanzioni Record per Meta

Le implicazioni legali di questa scoperta sono senza precedenti nel panorama della regolamentazione digitale europea. Meta è esposta a violazioni di ben tre normative, ognuna applicabile cumulativamente:

  • GDPR (Regolamento Generale sulla Protezione dei Dati): La mancanza di consenso informato per il trattamento dei dati personali, insieme alla violazione dei principi di minimizzazione dei dati e privacy by design, rende evidente la violazione del GDPR. La sanzione può arrivare fino al 4% del fatturato globale.
  • Digital Services Act (DSA): L’articolo 26 del DSA vieta esplicitamente la pubblicità personalizzata basata su profili creati utilizzando categorie speciali di dati personali (es. orientamento sessuale, opinioni politiche, informazioni sanitarie).
  • Digital Markets Act (DMA): La violazione più grave riguarda l’articolo 5.2 del DMA, che proibisce specificamente la combinazione di dati personali tra servizi di piattaforma core senza consenso esplicito dell’utente. La tecnica del localhost tracking combinava dati tra Facebook e Instagram, e potenzialmente anche WhatsApp e Messenger. Le sanzioni DMA possono raggiungere il 10% del fatturato globale per la prima violazione, raddoppiando al 20% in caso di recidiva.

Il rischio finanziario teorico combinato per Meta raggiunge i 32 miliardi di euro, equivalenti al 20% del suo fatturato globale annuale (che nel 2024 ha superato i 164 miliardi di euro), rappresentando il rischio finanziario più elevato mai affrontato da un’azienda tecnologica.

La Portata della Sorveglianza

I dati raccolti attraverso questo sistema fornivano a Meta un quadro completo e dettagliato del comportamento online degli utenti: cronologia di navigazione con URL specifici, prodotti aggiunti al carrello e acquisti, registrazioni sui siti web, moduli compilati e pattern comportamentali temporali.

Tutto veniva collegato direttamente alle identità reali sugli account social, indipendentemente dalle misure di protezione adottate dagli utenti.

Gli unici a sfuggire a questo meccanismo erano coloro che accedevano a Facebook e Instagram esclusivamente via web (senza le app), chi navigava su computer desktop o utilizzava dispositivi iOS, e chi impiegava browser come Brave o il motore di ricerca DuckDuckGo su mobile. Per tutti gli altri, ogni sessione di navigazione diventava automaticamente parte del profilo pubblicitario di Meta.

La Scoperta dei Ricercatori

La scoperta di questo sistema è merito di un gruppo di ricercatori – Tim Vlummens, Narseo Vallina-Rodriguez, Nipuna Weerasekara, Gunes Acar e Aniketh Girish – che hanno documentato meticolosamente ogni aspetto tecnico della violazione.

La loro ricerca ha rivelato che il meccanismo era attivo da almeno nove mesi per Meta e addirittura otto anni per Yandex Metrica, che utilizzava una tecnica simile.

Questa dimensione temporale amplifica significativamente le potenziali sanzioni, dato il volume di dati raccolti illegalmente nel corso di questi periodi.

Meta dovrà ora affrontare non solo le sanzioni finanziarie, ma anche le gravi conseguenze reputazionali di quella che potrebbe diventare la più grande violazione della privacy mai documentata.

L’azienda aveva già ricevuto una multa DMA di 200 milioni di euro nell’aprile 2025 per il suo modello “paga o acconsenti” e detiene già il record europeo per le multe GDPR.

Tag
Foto di Salvatore L. Salvatore L.4 settimane fa
0 632
Foto di Salvatore L.

Salvatore L.

Avvicinatosi al mondo videoludico grazie ad un Commodore64 alimentando in se la curiosità per il mondo Hi-Tech in particolar modo per tutto ciò che riguarda l' Hardware di un Computer. Dopo anni di collaborazioni con vari blog informatici Italiani nel 2012 apre il sito Hardware Mind.

Articoli Correlati

Asrock Z77 Extreme11 cosa vuoi di più?

18 Ottobre 2012

MWC2025: Xiaomi svela un ecosistema sempre più intelligente e integrato

3 Marzo 2025

AMD rilascia nuovi driver ottimizzati per Call of Duty : Modern Warfare

26 Ottobre 2019

TikTok di nuovo disponibile negli Stati Uniti

14 Febbraio 2025

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Ho preso visione della Privacy Policy ed Autorizzo al trattamento dei dati personali.

Questo blog non rappresenta una testata giornalistica in quanto viene aggiornato senza alcuna periodicità. Non può pertanto considerarsi un prodotto editoriale ai sensi della legge n. 62 del 7.03.2001. Copyright © 2012-2025 https://www.hwmind.it . Tutti i diritti riservati.
Pulsante per tornare all'inizio