A distanza di un paio di settimane dall’ultimo scandalo sulla privacy, Facebook si trova di nuovo nell’occhio del ciclone. Secondo quanto rivelato dai ricercatori dell’IMDEA Networks Institute, organizzazione non governativa con sede in Spagna, sarebbero stati scoperti nuovi meccanismi con cui l’app del social network riesce a ottenere dati personali sensibili tramite il browser Chrome. Le informazioni sono emerse in un’analisi approfondita pubblicata da Ars Technica.

Il sistema, che potrebbe violare i criteri di utilizzo del sistema operativo Android, consentirebbe a Facebook di accedere alla cronologia di navigazione degli utenti, anche senza che questi siano loggati e perfino durante la modalità di navigazione in incognito.

Come funziona il tracciamento incrociato

Alla base della pratica c’è una tecnologia ben nota: il “Pixel Meta”, strumento di tracciamento integrato in oltre 5,8 milioni di siti web. Il pixel è progettato per analizzare l’efficacia degli annunci pubblicitari, ma può anche trasmettere l’ID univoco del browser dell’utente direttamente all’app di Facebook. Di conseguenza, anche in assenza di login attivo e con la cronologia o i cookie cancellati, l’app può comunque ricostruire le attività online dell’utente.

A quanto pare, lo stesso meccanismo sarebbe sfruttato anche dal motore di ricerca russo Yandex, che impiega un proprio tracker su circa 3 milioni di siti. In entrambi i casi, viene sfruttata un’eccezione delle regole Android che consente a determinate app di intercettare comunicazioni locali per aprire link direttamente nell’applicazione nativa, eludendo le protezioni normalmente in vigore tra browser e app.

Google interviene, Facebook minimizza

La condivisione di dati tra app su Android è sottoposta a severi vincoli di sicurezza, grazie a un sistema di “sandboxing” che impedisce agli applicativi di comunicare liberamente tra loro. Facebook avrebbe aggirato queste limitazioni sfruttando in modo creativo ma non autorizzato alcune funzioni di sistema, riuscendo così a ottenere dati sensibili senza generare allarmi.

Interpellata da Ars Technica, Google ha ammesso che la tecnica utilizzata da Facebook e Yandex è da considerarsi scorretta, annunciando aggiornamenti tecnici per limitare simili abusi in futuro. Meta, da parte sua, ha parlato di “possibile malinteso nell’interpretazione di alcune policy di Google”, mentre Yandex ha dichiarato di non raccogliere dati sensibili, ma di utilizzare il tracciamento solo per migliorare l’esperienza personalizzata dell’app.

L’articolo Scoperto un nuovo metodo usato da Facebook per accedere ai dati personali sembra essere il primo su Cellulare Magazine.