Inkognitó mód? Ha ment a háttérben a Facebook, a Meta akkor is tudta, mit néz az androidos telefonján

Képzelje el, hogy egyedül ül otthon a kanapén, kezében a telefonjával, és éppen valami olyasmire akar rákeresni, aminek nagyon nem szeretné, hogy később nyoma legyen. Megnyitja a böngészőt, átvált inkognitó módba, az ujjai szinte maguktól suhannak végig a billentyűkön, és pár pillanat múlva már tele is megy a szeme csöccsel. Ne aggódjon, ez teljesen normális, mindenki így szokta megnyitni az Origót.

Az viszont már kevésbé normális, hogy mint kiderült, a Meta sok hasonló esetben

mégis össze tudta kötni egy gyanútlan felhasználóval a böngészési adatait anélkül, hogy az bármit elfogadott volna erről.

Arra, hogy a Meta és az orosz Yandex is egy eddig ismeretlen trükkel kerüli ki az adatbiztonsági óvintézkedéseket és előírásokat, kiberbiztonsági szakértők egy csoportja mutatott rá néhány hete egy részletes anyagban. A követési módszer szerintük több milliárd androidos felhasználót is érinthetett, de az eredmények nyilvánosságra kerülése után a cégek hirtelen leállították azt. Előtte viszont a Yandex nyolc évig, a Meta legalább kilenc hónapig használta, tehát elég komoly dologról van szó.

Na de mi is ez a titokzatos módszer, amellyel a Meta és a Yandex képes volt titokban megfigyelni a felhasználókat? Nagyon röviden egy olyan megoldás, amellyel a két cég natív androidos alkalmazásai – előbbi esetben mondjuk a Facebook vagy az Instagram, utóbbiban például a saját márkás böngésző vagy navigátor app – csendben figyelték a háttérből a felhasználók aktivitását a saját, rengeteg weboldalba beépített szkriptjükkel.

Ez így kicsit ezoterikusan hangzik, szóval gyorsan bontsuk ki, hogy nézett ki ez a folyamat. Érdemes a végén kezdeni, a Meta és a Yandex szkriptjeivel, amelyeknek alapvetően nem az a feladatuk, hogy a beleegyezésük nélkül profilozzák a felhasználókat. A Meta Pixel nevű szkript simán csak a látogatói aktivitást méri, és ha valaki beépíti az oldalába, szélesebb képet kaphat például arról, hogy mennyire hatékonyan tereli az embereket egy bizonyos aloldalra.

A Meta Pixel egy adatbázis alapján több mint hatmillió weboldalba van beépítve, a Yandex hasonló megoldása, a Metrica pedig közel hárommillióba, szóval láthatóan elég népszerű megoldásokról van szó. Előbbi az AP News, a Verge vagy éppen a Telex honlapján is megtalálható, és ezzel nincs is semmi baj, hiszen egy hasznos eszközről beszélünk. A Meta viszont a háttérben futó alkalmazásaival kombinálva arra használta fel az androidos telefonokon, hogy a tudtuk nélkül összekösse az emberekkel a tevékenységüket, a következő módon:

• az ember fogta a telefonját, megnyitotta rajta a Facebookot vagy az Instagramot, pörgette kicsit a hírfolyamot, aztán elkezdett valami mással foglalkozni;
• a háttérben továbbra is futó alkalmazás konyhanyelven fogalmazva megnyitott magának pár ajtót, és elkezdte figyelni, hogy beérkezik-e rajtuk adat egy olyan honlapról, amelybe bele van építve a Meta Pixel;
• ha az illető felment egy ilyen oldalra, akkor a böngészője egy _fbp nevű, hivatalosan amúgy a böngészők azonosításához használt sütit küldött az alkalmazásba;
• és a Meta szervereire is, a meglátogatott honlap linkjével, a böngésző és az operációs rendszer típusával és a Pixel által alapjáraton nyomon követett eseményekkel (például hogy hova kattintottunk);
• aztán végül az alkalmazás küldött még egy adatcsomagot a szerverekre, amely gyakorlatilag összepárosította az információkat a felhasználókkal, így a folyamat végére a Meta pontosan tudta, hogy az eszközön valamelyik alkalmazásába bejelentkezett illető látogatta meg az adott honlapot.

A kutatók szerint a módszer azért is volt aggályos, mert az összes, a nyomkövetés kikerülésére tett próbálkozást feleslegessé tette. Hiába használt valaki inkognitó módot, törölt sütiket vagy kapcsolta ki az összes követési engedélyt az androidos eszközén, a dolog ugyanúgy működött, csak az kellett hozzá, hogy az illető be legyen jelentkezve a Meta valamelyik alkalmazásába. (Tehát ha csak böngészőben nyitotta meg például a Facebook weboldalt, akkor mindez nem vonatkozik rá.) A Brave böngészőjének felhasználói örülhetnek, mert őket egyáltalán nem érintette a dolog, és a DuckDuckGót is csak minimálisan, de a Firefox, a Chrome és az Edge is sebezhetőek voltak.

A probléma csak az androidos rendszereket érinti, iOS-en nem találtak bizonyítékot arra, hogy történt volna ilyesmi – a kutatók szerint technikailag nem lenne lehetetlen, de az Apple szigorúbban kezeli a háttérben futó alkalmazásokat, ami jelentősen megnehezítheti a hallgatózást.

A kutatók kiemelték, hogy június 3-án, azaz az eredményeik közzététele napján a Meta Pixel abbahagyta az ilyen jellegű kérések és adatcsomagok küldését, bár az nem derült ki, hogy pontosan miért. A cég a Registernek azt nyilatkozta, „tárgyalnak a Google-lel egy potenciális félreértésről az irányelveik alkalmazásával kapcsolatban”, és „amint értesültek az aggályokról, felfüggesztették a funkció használatát, amíg dűlőre nem jutnak a Google-lel”. A Meta ennél több infót nem osztott meg a tárgyalásról. A lap a Yandexet is megpróbálta megkeresni, de nem járt sikerrel.

Ha ön is azt gondolja, hogy ez elég rázósan hangzik, és a Metát felelősségre kellene vonni miatta, akkor nincs egyedül. Egy adatvédelemmel foglalkozó spanyol ügyvéd, Jorge García Herrero a saját Substackjén foglalkozott a témával, ahol konkrétan azt írta, az évszázad legnagyobb büntetését kellene kiszabni a Metára a történtek miatt. Herrero szerint három EU-s jogszabályt, a digitális szolgáltatásokat szabályozó DSA-t, a digitális piacokra vonatkozó DMA-t és a GDPR adatvédelmi rendeletet – előbbi kettő 2023 augusztusa óta hatályos, ezekről ebben a cikkünkben írtunk részletesen – is megsértettek.

Konkrétan azzal, hogy a felhasználók beleegyezése nélkül gyűjtöttek olykor speciális, például szexuális irányultságra vagy politikai hovatartozásra vonatkozó adatokat, platformokon átívelően, reklámcélokra.

A Meta áprilisban kapta meg az első bírságát a DMA miatt, 200 millió euróra (több mint 81 milliárd forintra) büntették az adatgyűjtés megszüntetésének előfizetéshez kötése miatt. Az ügyvéd azt írta, ha az EU úgy találja, hogy a Meta mindhárom jogszabályt megsértette, akkor összesen akár 32 milliárd dolláros (11,2 ezermilliárd forintos) büntetést is kiszabhatna, ha minden esetben a maximumot vesszük alapul. Azt persze érdemes hozzátenni, hogy még sosem szabtak ki párhuzamosan, több ügyben is maximális büntetést egy cégre.