Onderzoekers van de KU Leuven, Radboud Universiteit en IMDEA Networks hebben ontdekt dat de apps van Facebook, Instagram en Yandex stiekem meekijken welke websites je bezoekt, ook in een andere app of in incognitomodus. ‘De methode omzeilt bestaande privacytoestemmingen in Android.’
Dat Meta, het moederbedrijf van Facebook en Instagram, je online gedrag in kaart brengt is al langer geweten, maar het bedrijf doet dat ook op stiekeme manieren die nog niet eerder bekend waren. De onderzoekers kwamen er op uit, en ontdekten in de marge dat ook de Russische zoekmachine Yandex hetzelfde doet. Opmerkelijk genoeg is Meta gestopt met de praktijk uren voor ze publiek werd gemaakt.
Facebook Pixel afluisteren
Veel websites hebben al jaren de zogenaamde ‘Facebook Pixel’ op hun website. Een stukje code dat bij een bezoek ongemerkt wordt geladen waarmee Meta bezoekers kan volgen. Die code maakt dat websites onder meer kunnen nagaan in welke mate hun online (Facebook)advertenties tot extra bezoeken en aankopen leiden.
De onderzoekers ontdekken nu dat de apps van Facebook en Instagram op Android-telefoons in de achtergrond luisteren naar vaste lokale (netwerk)poorten. Zo ontvangen ze data, vaak identiteitsgebonden, van de gebruiker en kan de app dat koppelen aan het profiel van die gebruiker.
‘Facebook krijgt zo een beeld van welke websites je bezoekt, ook al ben je in je browser niet ingelogd op Facebook. Dat gebeurt in gangbare browsers, maar ook in incognitomodus of in apps die via een ingebouwde browser een webpagina openen,’ legt Dr. Gunes Acar (Radboud Universiteit) uit aan Data News.
Naast Acar werkten ook Tim Vlummens, doctoraatsstudent bij COSIC (KU Leuven), Aniketh Girish en Nipuna Weerasekara, beiden doctoraatsstudent aan het IMDEA Networks Institute in Madrid en professor Narseo Vallina-Rodriguez van het IMDEA Networks Institute mee aan het onderzoek.
Concreet luisteren de apps op lokale poorten op je smartphone naar de ID’s die worden verzonden, zo krijgen ze een gedetailleerd beeld van wat een gebruiker op zijn of haar toestel bezoekt. Ook bepaalde events, zoals een item in een online winkelwagen leggen, worden daarbij in kaart gebracht. De methode omzeilt bestaande privacytoestemmingen in Android.
‘Meta geeft websites ook de mogelijkheid om automated advanced matching te gebruiken met de Facebook Pixel,’ zegt Acar. ‘Vul je dan een formulier in op zo’n site, dan schraapt het info zoals je mailadres, naam, geslacht of telefoonnummer. Dat wordt gelukkig niet rechtstreeks doorgestuurd, maar ze hashen (encoderen naar een unieke code, nvdr) het wel en kunnen dat koppelen wanneer je die gegevens elders ook ingeeft.’
Wel in browsers, niet bij je bankapp
De onderzoekers hebben hun bevindingen alvast discreet gemeld aan een aantal browsermakers. Zo is er onder andere in Chrome al een aanpassing gebeurd sinds afgelopen week.
Goed om te weten: het afluisteren gebeurt via de Facebook- en Instagram-app. Bij andere apps van Meta, zoals WhatsApp, werd het gedrag niet vastgesteld. Ook is het niet aangetoond dat de methode van Meta bijvoorbeeld mee kan kijken in wat je in je bankapp doet. Het richt zich specifiek op interacties met sites die de Facebook Pixel plaatsen en zo consequent Meta informeren over wat een bezoeker doet. Meta kan via haar Apps dat gedrag koppelen aan een Facebook- of Instagramaccount.
iPhone
Naar de toekomst toe willen de onderzoekers bestuderen of er ook met iPhone-apps wordt gekeken naar het browsergedrag, maar de focus voor dit onderzoek lag op Android.
‘We hebben ons daarop toegelegd omdat zowel de Facebook Pixel als de Yandex pixel specifiek zoeken naar user agent strings gelinkt aan Android,’ zegt Tim Vlummens. Mogelijk is dat omdat Apple een veel striktere omgeving heeft en zulke praktijken er moeilijker zijn, maar dat is nog niet aangetoond.
Ook Yandex, na drie dagen
Het onderzoek begon in september vorig jaar toen Dr. Acar ontdekte dat er data werd doorgegeven tussen de website van de Radboud Universiteit en de Facebook-app. Bij een brede test bij honderdduizend websites, bleken 15.677 van hen zulke signalen te versturen die de app kon lezen.
In de marge van dat onderzoek ontdekte het team dat ook Yandex, de Russische tegenhanger van Google, dat doet. Hier werd de Yandex pixel, formeel ‘Yandex Metrica’, op 1.260 sites gevonden en die doet hetzelfde met Yandex-apps (Maps, Navi, Browser en Search). ‘Het is kleinschaliger, maar Yandex doet het ook al veel langer’, zegt Dr. Acar aan Data News. ‘We hebben via historische data ingeschat dat Yandex het mogelijk al sinds 2017 doet.’
Dat het nooit eerder is opgevallen, hoewel apps in de Play Store in principe worden gescreend op ongepast gedrag, ligt mogelijk aan het feit dat de apps niet meteen beginnen te luisteren. ‘Start je de Yandex-apps, dan beginnen ze pas na drie dagen te luisteren,’ vult Nipuna Weerasekara aan.
‘Mogelijk doen ze dat om bij een eerste inspectie niet op te vallen. De meeste security researchers gaan een app installeren en kijken wat het doet, maar ze gaan niet eerst drie dagen wachten.’ Het gedrag is ook dynamisch, de vertraging kan variëren, net zoals de poorten waar de apps naar luisteren.
Alternatief voor tracking cookies
Facebook en Instagram zouden pas recent, in september vorig jaar, de afluistermethode toepassen. De onderzoekers vermoeden dat Meta op die manier een alternatieve methode wilden hebben voor het plan van Google om externe cookies in Chrome te weigeren. Google heeft niet doorgezet met dat plan, maar intussen heeft Meta wel een methode om ook zonder cookies te weten naar welke websites je surft, welke acties je er onderneemt en welke echte identiteit er zit achter dat gedrag.
Een klein lichtpuntje is dat Meta op een iets veiligere manier afluistert dan Yandex. Meta gebruikt sinds november WebRTC om te communiceren tussen websites met een Facebook Pixel en de Facebook-app. Andere apps zouden die waarden ook kunnen zien, maar het zijn voor hen willekeurige cijfers.
Yandex is daar slordiger in en gebruikt HTTP en HTTPS-verzoeken. Daarbij wordt ook de origin header meegestuurd die de URL bevat. Of anders gesteld: De informatie die Yandex Metrica verzamelt en doorstuurt kan ook door andere apps op je telefoon worden opgemerkt, waardoor ook zij een zicht krijgen op je browsergeschiedenis.
Plots weer stopgezet
De onderzoekers namen contact op met verschillende browserontwikkelaars om de praktijk te melden. ‘Onder meer Chrome heeft haar verantwoordelijkheid genomen,’ zegt Gunes. ‘Maar ook het Android-platform zelf kan dit op een betere manier aanpakken, zeker als het aankomt op het reviewen van apps voor ze worden goedgekeurd, of door een beleid dat dit soort tracking niet toelaat.’
De tracking door Meta is opmerkelijk genoeg zeer recent weer stopgezet. Data News sprak de onderzoekers in de dagen voor hun onderzoek publiek werd gemaakt en kon ook een video zien waarin de techniek werd gedemonstreerd.
Vandaag, dinsdag 3 juni, lieten de onderzoekers weten dat de Meta Pixel sinds dinsdagochtend geen packets of requests meer naar de localhost (de smartphone van de gebruiker) stuurt. Ook de code die de zogenaamde _fbp ID stuurt is plots volledig verwijderd. Een formele verklaring voor die stopzetting is er niet. Maar gezien dat enkele uren voor het publiek maken van het onderzoek gebeurt, is het niet uitgesloten dat Meta de praktijk heeft stopgezet omdat het intussen formeel op de hoogte is van de vaststellingen van de onderzoekers.
Reactie Google, Yandex en Meta
Update 15.30 uur:
Google deelt in reactie op de bevindingen de volgende verklaring: ‘De ontwikkelaars (Meta, nvdr) in dit rapport maken op ongewenste wijze gebruik van functionaliteiten die in veel browsers op iOS en Android aanwezig zijn, wat duidelijk in strijd is met onze beveiligings- en privacyprincipes. We hebben al maatregelen genomen om deze ingrijpende technieken tegen te gaan. We zijn een eigen onderzoek gestart en staan rechtstreeks in contact met de betrokken partijen.’
Data News vroeg ook aan Google waarom de praktijk nooit werd ontdekt, gezien de app ook door een reviewproces in de Google Play Store moet gaan. We vullen dit artikel verder aan wanneer er antwoord komt op die vragen.
Ook Meta was snel om te reageren, maar niet op specifieke vragen: ‘We zijn gesprek met Google om een mogelijke miscommunicatie te behandelen rond de toepassing van hun beleid. Nu we ons bewust zijn van de bezorgdheden, hebben we besloten om deze functie te pauzeren terwijl we met Google werken aan het probleem.’
Data News heeft Meta ook gevraagd waarom het dit doet, waarom het meeluistert naar welke sites in incognitomodus worden bezocht en of dit duidelijk is in de gebruiksvoorwaarde van de Facebook- en Instagram-app. Daarom kwam vooralsnog geen antwoord.
Update 4/6/2025
Yandex zegt in een verklaring dat het geen gevoelige informatie verzamelt. ‘Yandex is in regel met de databeschermingsstandaarden en gaat geen gebruikersdata de-anonymiseren. De functie in kwestie verzamelt geen gevoelige informatie en is enkel bedoeld om personalisatie binnen apps te verbeteren.’
Maar hoewel het bedrijf niet van mening is dat het iets verkeerd doet, stopt het wel met de praktijk.
‘Gezien de bezorgdheden hebben we besloten om er mee te stoppen en zijn we volop bezig om de functie uit onze apps te halen. We zijn ook in gesprek met Google om volledig in regel te zijn met hun app store beleid,’ zegt Yandex in een mededeling aan Data News.