Ils ont découvert que les applications Android natives, notamment Facebook, Instagram et plusieurs applications Yandex telles que Maps, Navi, Browser et Search, écoutent silencieusement sur des ports locaux fixes des appareils mobiles pour désanonymiser les habitudes de navigation des utilisateurs sans leur consentement.

En intégrant du code de suivi à des millions de sites web, Meta Pixel et Yandex Metrica ont pu associer les habitudes de navigation des utilisateurs Android à leur identité persistante (c'est-à-dire lorsque le titulaire du compte est connecté). Cette méthode contourne les protections de la vie privée offertes par les contrôles d'autorisation d'Android, y compris le mode navigation privée, et affecte les principaux navigateurs Android. L'équipe de recherche internationale a informé plusieurs éditeurs de navigateurs de ce problème, et ces derniers travaillent activement à des mesures pour limiter ce type d'abus. Par exemple, une solution de contournement pour Chrome devrait être mise en place très prochainement.

Ces sociétés de suivi pratiquent cette technique de contournement depuis longtemps : depuis 2017 pour Yandex et depuis septembre 2024 pour Meta. Le nombre de personnes touchées est élevé, puisque Meta Pixel et Yandex Metrica seraient installés respectivement sur 5,8 millions et 3 millions de sites web. Il est également important de noter que cette pratique de suivi n'a été observée que sur Android.

Procédure MetaPixel et Yandex Metrica :
Sous Android, le modèle d’autorisations permet à toute application disposant de l’autorisation INTERNET de créer et d’exécuter un serveur web local en arrière-plan, via des sockets TCP (HTTP) ou UDP (WebRTC). Sur le web, la plupart des navigateurs modernes offrent la possibilité, grâce à du code JavaScript, d’envoyer des requêtes HTTP ou des messages WebSocket à l’hôte local (127.0.0.1), ou encore une API WebRTC pour envoyer des messages à un serveur à l’écoute.

« Ce qui est intéressant ici, c'est le point de connexion et la manière dont ces traqueurs peuvent démasquer le trafic web mobile des utilisateurs. Dans le cas du Pixel de Meta, l'application utilise des canaux locaux pour partager les identifiants du navigateur via WebRTC avec ses applications natives, comme Facebook ou Instagram. Les données sont liées au compte de l'utilisateur connecté, et l'application les transmet discrètement aux serveurs de Meta. Yandex adopte une approche plus passive, mais tout aussi intrusive : son SDK AppMetrica, intégré aux applications Yandex, écoute sur les ports locaux, capture les données de suivi web entrantes, les agrège avec des identifiants mobiles, comme l'identifiant publicitaire Android, et envoie le profil enrichi au Pixel Yandex intégré au site web », explique Aniketh Girish, doctorante à IMDEA Networks et l'une des chercheuses impliquées dans ces travaux. « Malgré des tactiques différentes, les deux traqueurs parviennent au même résultat : lier de manière transparente les identités mobiles et web sans que l'utilisateur ait besoin de s'inscrire», ajoute-t-elle.

À propos de Yandex Metrica, Nipuna Weerasekara, doctorante et chercheuse ayant participé à cette étude, est catégorique : « Ce qui m’a le plus surprise, c’est le caractère dynamique des applications Yandex utilisant le SDK AppMetrica. Yandex met en œuvre cette méthode de suivi de manière similaire aux nœuds de commande et de contrôle des logiciels malveillants, en récupérant les configurations des ports d’écoute et les délais de démarrage depuis ses serveurs lors de l’exécution. Nous avons observé que ces applications attendent jusqu’à trois jours après leur installation avant d’activer leurs écouteurs locaux. Nous supposons qu’il s’agit d’un délai intentionnel destiné à échapper aux investigations. Cette conception permet aux applications Yandex de s’adapter instantanément et de potentiellement contourner les mesures de protection mises en place par Google Chrome, telles que le blocage statique des ports locaux. En changeant simplement les ports sur le serveur, ces applications peuvent maintenir un canal de données persistant entre le web et l’application, malgré les contre-mesures. ».

Prévention des abus :
Pour Narseo Vallina-Rodríguez, professeur associé de recherche à IMDEA Networks et responsable du groupe de recherche, la solution pour prévenir ce type d’abus réside dans une révision, par les plateformes mobiles et les navigateurs, de leur gestion de l’accès aux ports locaux. « Le problème fondamental qui rend cette attaque possible est le manque de contrôle sur les communications locales sur la plupart des plateformes modernes. Avant nos révélations, les utilisateurs Android ciblés par Yandex et Meta Pixel étaient totalement vulnérables face à cette méthode de suivi. Il est possible que la plupart des fabricants de navigateurs et des opérateurs de plateformes n’aient même pas intégré cet abus dans leurs modèles de menaces. » Toutefois, ajoute-t-il, « les mesures d’atténuation techniques ne doivent pas perturber les utilisations légitimes des sockets locaux, telles que les méthodes antifraude ou d’authentification. Toute solution technique, comme de nouveaux principes de sandbox et des modèles de test plus rigoureux, doit être complétée par des politiques de plateforme et des processus de vérification des boutiques d’applications plus stricts afin de limiter les abus et ainsi dissuader d’autres services de suivi d’utiliser des méthodes similaires à l’avenir. »
À l’heure actuelle, rien ne prouve que Meta ou Yandex aient divulgué ces capacités de suivi aux sites web hébergeant les traqueurs ou aux utilisateurs finaux les consultant. Des informations provenant de forums de développeurs suggèrent que Meta et Yandex n'ont peut-être pas communiqué ce comportement aux développeurs de sites web intégrant leurs solutions de suivi. De fait, de nombreux exploitants de sites web utilisant Meta Pixel ont été surpris lorsque le script a commencé à se connecter aux ports locaux, comme l'indiquent plusieurs discussions sur les forums. En attendant une réaction de Google et des autres navigateurs majeurs, le seul moyen de se prémunir contre ces abus est d'éviter de télécharger des applications telles que Facebook ou Instagram, ainsi que les applications Yandex mentionnées précédemment.
Gunes Acar, professeur associé à l'université Radboud, qui a codirigé la recherche et fait la découverte initiale, souligne : « Meta a non seulement omis d'informer les propriétaires de sites web de cette méthode de suivi, mais a également ignoré leurs plaintes et leurs questions. » Il conclut : « Ce type de suivi multiplateforme est sans précédent, et il est particulièrement choquant de la part de deux entreprises qui servent des milliards d'utilisateurs dans le monde entier. » Concernant les protections mises en place suite à leurs révélations, « Nous sommes heureux de constater que les développeurs de navigateurs, tels que Chrome et DuckDuckGo, ont déjà publié des correctifs grâce à nos découvertes. »