Achtergrond
Cookiebanners blijven - ondanks Google
van Dayan Pfammatter
Speciale volgtechnologie: Meta en Yandex bespioneren gevoelige gebruikersinformatie
5-6-2025
Vertaling: machinaal vertaald
Een team onderzoekers ontdekt dat Meta en Yandex hun gebruikers de-anonimiseren. Ze gebruiken een truc om op illegale wijze gevoelige persoonlijke informatie te verkrijgen over miljoenen Android gebruikers. Wat betekent dit nu?
Tracking pixels zijn al jaren een belangrijk hulpmiddel voor adverteerders op internet. Sociale mediadiensten zoals de Meta Group verzamelen ook gegevens om de effectiviteit van advertenties te meten en gebruikersgedrag te analyseren. Meta en de Nederlands-Russische dienst Yandex zijn nu een stap verder gegaan: tot nu toe werd tracking op «pseudoniem gebruikt». Dit betekent dat, hoewel een gebruiker zijn gedrag op het web onthulde, er geen specifieke conclusies konden worden getrokken over zijn identiteit.
Meta en Yandex gebruikten een truc die hun gebruikers bijna volledig de-anonimiseerde. Dit treft gebruikers van Android-toestellen van wie de browsers technisch zijn gemanipuleerd om informatie te verstrekken voor de apps van de bedrijven - zoals de apps van Facebook, Instagram of Yandex.
Wat is er precies gebeurd?
Onderzoekers uit Spanje en Nederland ontdekten dat de twee bedrijven een truc gebruiken die diep ingrijpt in de interactie tussen browsers en apps op Android-apparaten. Terwijl Yandex deze technologie al sinds 2017 gebruikt, begon Meta ermee in september 2024.
De focus ligt op zogenaamde «tracking pixels» - kleine onzichtbare scripts die op websites zijn ingesloten. Deze werden door de twee bedrijven zo gemanipuleerd dat ze, samen met de geïnstalleerde apps, aanzienlijk meer gevoelige informatie konden verkrijgen.
Hoe werkt dit precies?
De basis voor de aanval ligt in een weinig bekende functie van Android: apps mogen op de achtergrond luisteren naar zogenaamde lokale hostadressen - dat wil zeggen naar communicatiekanalen die eigenlijk alleen intern op het apparaat worden gebruikt. Deze worden standaard niet geblokkeerd door beveiligingsmechanismen, dus ze vereisen geen speciale autorisatie van het apparaat.
Bron: https://localmess.github.io/
Dit is waar de apps misbruik van maken. Zodra een gebruiker een website bezoekt die de Meta Pixel of Yandex Metrica bevat, wordt via deze lokale verbinding een datapakket verzonden. De app, zelfs als deze op de achtergrond draait, herkent dit verzoek, leest de identifier die het bevat en matcht deze met het ingelogde gebruikersaccount - bijvoorbeeld het Facebook-account.
Op deze manier wordt een anonieme websessie opeens een persoonlijke dataset, gekoppeld aan een echte naam, een gebruikersprofiel - en een heel digitaal verleden. Dit werkt ook als je je in de incognitomodus bevindt.
Wie wordt getroffen
Volgens de onderzoekers zijn bijna zes miljoen websites uitgerust met de Meta Pixel en maken nog eens drie miljoen gebruik van Yandex Metrica. Hieronder bevinden zich winkeliers en telecombedrijven in Europa. Op de GitHub pagina van het onderzoeksteam kun je precies zien om welke websites het gaat. Uit een analyse van de onderzoekers bleek dat meer dan 70 procent van deze websites hun gebruikers geen toestemming vroeg voor deze tracking - wat wettelijk verplicht zou zijn vanwege de GDPR. Veel websitebeheerders waren zich er ook niet van bewust dat de trackers verbindingen tot stand brachten met lokale poorten op de eindapparaten. Degenen die het zich wel realiseerden, werden genegeerd door Meta.
Wat gebeurt er nu?
Onmiddellijk na de publicatie van het onderzoek stopten Meta en Yandex met deze strategie. Meta kondigde aan in gesprek te zijn met Google om «misverstanden» over de platformrichtlijnen op te helderen. Yandex kondigde aan dat het de betreffende functie zou uitschakelen - maar benadrukte dat het geen gevoelige gegevens had verzameld.
Bron: Shutterstock
Browserontwikkelaars reageren nu op de onderzoeksresultaten. In een nieuwe versie van Chrome heeft Google bepaalde varianten van de zogenaamde «SDP mungings» geblokkeerd - dat wil zeggen de technologie die deze verbindingen zonder toestemming tot stand brengt. Browsers zoals Brave en DuckDuckGo vertrouwen ook op uitgebreide blokkadelijsten om te voorkomen dat gegevens naar lokale poorten worden verzonden. Mozilla, de fabrikant van Firefox, onderzoekt de technologie en heeft onderzoeken aangekondigd. Het is nog niet duidelijk hoe Meta en Yandex juridisch te werk zullen gaan.
De onderzoekers waarschuwen echter niet te snel tevreden te zijn: Als Meta en Co. de poort veranderen, tot nu toe was dat altijd poort 12387, of een ander protocol gebruiken, zou deze technologie gebruikt kunnen blijven worden. Om het probleem permanent op te lossen, moet dit gebeuren met Android.
Wat kun je doen?
De meest effectieve bescherming tegen dit soort tracking is op dit moment om de Meta en Yandex apps van je Android toestel te verwijderen en de diensten via de browser te gebruiken, als je dat al doet.
Als alternatief helpt het om browsers te gebruiken die trackers blokkeren of verbindingen met lokale poorten standaard voorkomen (Brave of DuckDuckGo Browser). Als je een iPhone gebruikt, ben je blijkbaar veilig: iOS staat zulke achtergrondverbindingen nog niet in dezelfde mate toe.
Omslagfoto: Shutterstock
Sinds ik ontdekt heb hoe ik beide telefoonkanalen op de ISDN kaart kan activeren voor meer bandbreedte, ben ik aan het knutselen met digitale netwerken. Ik knutsel al met analoge netwerken sinds ik kan praten. Winterthur door keuze met een rood-blauw hart. En koffie - voor, na, tussendoor en tijdens.
10 opmerkingen
later