Investigadores Revelan que Meta y Yandex Rastrearon las Identidades de Navegación de los Usuarios de Android

Las investigadoras han revelado que Meta y la empresa rusa Yandex han estado utilizando sus aplicaciones nativas de Android para rastrear los datos de navegación de los usuarios sin su consentimiento, eludiendo las protecciones de privacidad y seguridad. Google ha declarado que está investigando el abuso.

Según el informe, actualizado el martes y titulado “Rastreo encubierto de Web a App a través de Localhost en Android”, Meta y Yandex obtuvieron acceso a los metadatos del navegador de los usuarios, comandos y cookies a través de sockets localhost en sus dispositivos.

“Revelamos un novedoso método de seguimiento de Meta y Yandex que podría afectar a miles de millones de usuarios de Android”, declara el documento. “Descubrimos que las aplicaciones nativas de Android, incluyendo Facebook, Instagram, y varias aplicaciones de Yandex, como Maps y Browser, escuchan silenciosamente en puertos locales fijos con fines de seguimiento”.

Las empresas de tecnología han estado aprovechando el método de compartición de identificación de web a aplicación, Yandex desde 2017 y Meta desde septiembre de 2024, eludiendo protecciones como el modo incógnito, los controles de permisos de Android y la eliminación de cookies. Después de que los investigadores compartieran la publicación, Meta dejó de utilizar el método de seguimiento.

Según Ars Technica, Google está investigando el caso y afirmó que Meta y Yandex han violado los términos de servicio de su mercado Play.

Yandex dijo que la función considerada en la investigación no recopila la información personal de los usuarios y que su único propósito es proporcionar un servicio más personalizado. Los investigadores discrepan y destacan los riesgos de la metodología utilizada.

“Uno de los principios de seguridad fundamentales que existe en la web, así como en el sistema móvil, se llama sandboxing”, dijo Narseo Vallina-Rodríguez, uno de los investigadores detrás del descubrimiento, en una entrevista con Ars Technica. “Todo se ejecuta en un sandbox y no hay interacción dentro de los diferentes elementos que se ejecutan en él. Lo que este vector de ataque permite es romper el sandbox que existe entre el contexto móvil y el contexto web. El canal que existe permitió al sistema Android comunicar lo que sucede en el navegador con la identidad que se ejecuta en la aplicación móvil”.

Los investigadores notaron el abuso solo en Android, pero mencionaron que también podría implementarse en iOS.

Otros actores también han estado atacando a los usuarios de Android. Hace unos días, investigadores de ciberseguridad revelaron que los estafadores han estado robando datos de tarjetas a través de un malware para Android llamado SuperCard X.