Técnica de “localhost tracking” da Meta pode render multa de até 32 bilhões de euros (R$ 47 trilhões)

 (zeropartydata.es)
8 pontos por GN⁺ 2025-06-11 | 5 comentários | Compartilhar no WhatsApp
  • A Meta desenvolveu um mecanismo de rastreamento que contorna o sandbox do Android (“localhost tracking”) para vincular a identidade real e a atividade de navegação na web do usuário, independentemente de VPN, modo anônimo ou exclusão de cookies
  • A técnica faz o app da Meta (em segundo plano) e o script Meta Pixel no navegador trocarem informações por portas da rede local, vinculando o cookie _fbp à conta do usuário mesmo sem login no navegador
  • Com isso, o comportamento no navegador é conectado à conta real do Facebook/Instagram, permitindo integração massiva de dados pessoais sem consentimento do usuário
  • Há possível violação simultânea de GDPR, DSA e DMA, as principais leis europeias de proteção de dados, o que pode levar à aplicação cumulativa de sanções e a uma multa de até 32 bilhões de euros (cerca de 4%, 6% e 10% da receita)
  • Por mais de 9 meses, em cerca de 22% dos principais sites do mundo (incluindo mais de 17 mil nos EUA), ocorreu rastreamento em larga escala sem consentimento do usuário, com dados de centenas de milhões de pessoas sendo vinculados e coletados “sem explicação explícita”
  • Como há indícios claros de violações repetidas, abuso de posição dominante e intenção deliberada de contornar proteções técnicas, discute-se até a possibilidade de uma penalidade cumulativa recorde e sem precedentes
  • Apenas alguns grupos ficam fora do impacto, como usuários de iOS, PC ou sem o app instalado

Tecnologia de “localhost tracking” da Meta

  • A Meta usa uma técnica inovadora, mas controversa, chamada “localhost tracking”, para contornar proteções de identificação de recursos do usuário que o sistema de sandbox do Android bloqueia intencionalmente
  • Os apps do Facebook/Instagram ficam em segundo plano com portas TCP/UDP específicas abertas no celular, em estado de escuta (listening) (login necessário)
  • Quando o usuário acessa um site no navegador do mesmo dispositivo (por exemplo, notícias ou e-commerce), se o site tiver o Meta Pixel instalado, cookies e informações de atividade são coletados imediatamente
    • Nem VPN, modo anônimo ou exclusão de cookies impedem isso
  • O script Meta Pixel no navegador usa WebRTC (originalmente para vídeo/voz) e um truque chamado SDP Munging para enviar diretamente o cookie _fbp ao app
  • Ao mesmo tempo, as mesmas informações também são enviadas separadamente aos servidores da Meta, permitindo rastreamento integrado nos dois sentidos, online e offline
  • O app do Facebook/Instagram recebe o valor de _fbp e o reenvia ao servidor Meta GraphQL junto com o identificador exclusivo da conta
    • Como resultado, o ID de visita no navegador e a conta real do Facebook/Instagram ficam fortemente ligados, com um mapeamento 1:1 entre atividade de navegação e identidade real

Por que isso é grave

  • Há uma burla indireta a uma escuta de portas locais/comunicação oculta entre apps proibida pela arquitetura do Android
  • Mesmo sem o usuário abrir o app, sem login no navegador e usando VPN, modo anônimo ou exclusão de cookies, as defesas não funcionam
  • Há coleta e vinculação de informações sem consentimento prévio claro e suficiente, exigido por regras de privacidade como o GDPR
  • Cerca de 22% dos principais sites do mundo foram afetados, com rastreamento sem consentimento de bilhões de pessoas por 9 meses (Meta) / 8 anos (Yandex)
  • Dados coletados e combinados: histórico completo de navegação, carrinho e compras, preenchimento de formulários em sites, padrões comportamentais por horário, vínculo com conta de nome real etc.
  • As únicas exceções são uso de iOS e PC, ausência do app instalado, ou uso exclusivo dos navegadores Brave/DuckDuckGo

Principais violações legais

  • GDPR: exige consentimento para tratamento de dados pessoais com fins publicitários; possível violação dos deveres de minimização de dados e privacy by design (até 4% da receita)
  • DSA (artigo 26): proíbe publicidade personalizada baseada em informações sensíveis do perfil (inclinações, posição política, saúde etc.) (até 10% da receita)
  • DMA (artigo 5.2): proíbe combinar dados pessoais entre plataformas centrais sem consentimento explícito (até 10%, ou 20% em caso de reincidência)
    • Para o vínculo de contas, seriam necessários pelo menos três consentimentos (GDPR, ePrivacy e DMA), mas foi exigido apenas um (a alternativa coercitiva de “Pay or OK”)
    • Já existe um caso de multa de 200 milhões de euros, em abril de 2025, relacionado a violação do DMA

Perspectiva de multas e sanções

  • GDPR, DMA e DSA têm bens jurídicos e sistemas de punição próprios, portanto multas cumulativas podem ser calculadas
  • A multa máxima teórica é de 32 bilhões de euros. Diante de violações repetidas pela Meta, cooperação regulatória insuficiente, poder de mercado e indícios de evasão deliberada, há possibilidade de uma punição pesada e inédita

Conclusão

  • A técnica de “localhost tracking” da Meta é um caso emblemático de contorno malicioso de padrões técnicos e legais de proteção da privacidade, com impacto muito amplo e gravidade significativa em escala global.
  • Considerando as possíveis violações simultâneas de GDPR/DSA/DMA, além do poder de mercado e do histórico de reincidência, há chance real de aplicação de uma multa cumulativa em nível histórico
  • Há atenção mundial sobre se as autoridades regulatórias aplicarão, pela primeira vez, uma multa cumulativa com base em GDPR, DSA e DMA (até 32 bilhões de euros)

Leituras relacionadas

5 comentários

 
luiseok 2025-06-11

Não sei como vão responsabilizar, internamente, os gestores que aprovaram isso.
 
kimjoin2 2025-06-11

Fico me perguntando se o iOS é seguro mesmo..
 
brainer 2025-06-11

P: o iOS/outras plataformas também são afetados?
R: até agora isso só foi confirmado no Android; tecnicamente, iOS/desktops/smart TVs etc. também podem representar um risco potencial
 
GN⁺ 2025-06-11
Opiniões do Hacker News

  • Compartilhamento de uma coletânea de links reunindo tópicos relacionados já discutidos sobre rastreamento web-para-app e problemas de privacidade envolvendo Meta e Yandex. São mencionados temas como: dicas de privacidade do Washington Post (parar de usar Chrome, remover apps da Meta e da Yandex), a Meta rastreando secretamente usuários Android por meio do Instagram e do Facebook, a interrupção da técnica de rastreamento por portas móveis no Android após protestos de pesquisadores, e vazamento de dados de rastreamento via WebRTC por Yandex e Meta

  • Lembrança do caso em 2014 em que o app do Twitter para Android começou a enviar aos servidores do Twitter a lista de todos os apps instalados no dispositivo. Desde então, a pessoa insiste em usar a versão web em vez de apps nativos sempre que um serviço permite isso. Como não usa Facebook nem Instagram, não sabe como isso funciona hoje em dia. Na época, também passou pela limitação deliberada de recursos do Facebook Messenger no navegador. Ao longo dos últimos 10 anos, apps nativos pediram inúmeras permissões, e os usuários foram clicando e concordando sem pensar muito. Questiona por que o Facebook deveria poder ver informações de Wi‑Fi ou Bluetooth. Há também casos de rastreamento de pessoas em lojas físicas com beacons offline https://en.wikipedia.org/wiki/Facebook_Bluetooth_Beacon . O lado triste é que apps nativos são muito mais agradáveis e têm desempenho muito melhor do que web apps

    • Relato de como o Facebook Messenger foi deliberadamente tornado incômodo no navegador. Também usou o Messenger Lite, mas o serviço acabou sendo encerrado. Ainda precisa usar o Facebook por causa de eventos ou contatos, mas nunca instala o app do Messenger, e acaba usando à força o modo desktop, o que é bem desconfortável. O feed agora aparece cheio de “recomendado para você”, então já não vicia como antes. Não entende por que a empresa parece querer afastar os usuários, mas é essa a sensação

    • Menção de que, nos últimos anos, os próprios web apps vêm sendo fortemente sabotados. Metade do tempo a pessoa é atormentada por pop-ups de “instale o app”, e na outra metade o serviço simplesmente não funciona. O mais decepcionante é que muitos apps nativos hoje são praticamente só webviews e nem usam interface nativa. Se na prática não é muito diferente do Safari, então que deixem usar o Safari mesmo

    • Na época isso parecia um exagero, mas a pessoa insistiu em usar só a versão do navegador e até hoje não se arrepende. Também se livrou de distrações como notificações. Se Apple ou Google levassem privacidade a sério, talvez fosse diferente. App que não está no F-Droid, simplesmente fica esperando

    • Esse tipo de rastreamento por apps continua totalmente legal até hoje. Todos os apps podem vasculhar a lista de apps instalados no momento e os apps executados recentemente “por motivos de segurança”. O mesmo vale para contatos. O WhatsApp (o único produto da Meta que a pessoa usa entre os que ela administra) verifica informações de contatos em intervalos muito curtos e, quando detecta alterações, envia só a diferença para o servidor. O ponto central desta polêmica é que a Meta contornou na web o pareamento de usuários sem pagar ao Google o custo do “cookie matching”

  • Este sistema deixou registros de engenheiros da Meta fazendo commits de código e gerentes de produto processando solicitações por tickets. Argumenta-se que, assim como o Facebook deveria receber multa proporcional a uma parte da receita, essas pessoas também deveriam ter responsabilidade pessoal em proporção a uma parte de seus salários

    • Ênfase em que os verdadeiros responsáveis são os gestores que permitiram esse sistema

    • Concorda com a ideia, mas considera errado um cenário em que só funcionários da base assumem a culpa e os de cima ficam isentos. A responsabilidade precisa subir na hierarquia

    • Isso lembra uma citação famosa de C. S. Lewis. A Meta é comparada a um exemplo moderno da ideia de que “os piores males são planejados por homens de terno em escritórios limpos e silenciosos”

    • Reconhece que isso é claramente problemático do ponto de vista ético, mas observa que alguns engenheiros constroem qualquer coisa se receberem salário para isso. Se eles não fizerem, outra pessoa fará, e às vezes o desafio técnico em si parece interessante. No fim, é preciso responsabilizar os gestores e quem financia isso no topo, ou seja, pessoas como Zuck, que ficam com o dinheiro e os benefícios; é preciso seguir o fluxo do dinheiro

    • Levanta-se a dúvida sobre se a UE pode de fato impor multa a um engenheiro americano residente nos EUA

  • No caso da Meta, isso não surpreende. No início da década de 2010, a empresa monitorava o tráfego HTTPS da App Store do iOS para identificar com antecedência apps populares e, assim, conseguiu decidir pela aquisição de WhatsApp e Instagram. Na situação atual, a aposta de Zuckerberg parece ser torcer para que a Meta continue viva até a chegada da próxima plataforma, como AR ou VR. Se a Meta dominar uma nova plataforma, não precisará mais seguir regulações razoáveis e poderá estender livremente os tentáculos publicitários da internet. Não é desejável, mas realisticamente parece haver boa chance de conseguirem

    • As empresas querem muito que AR/VR vire a próxima plataforma, mas fica a dúvida se o público em geral realmente quer isso, fora um pequeno grupo de fãs de jogos. Há ceticismo de que isso tenha mais fôlego do que os óculos 3D no cinema

    • No caso antigo de monitoramento no iOS, o usuário precisava instalar manualmente uma VPN distribuída por certificado corporativo, algo que não passava pela App Store. Era necessário atravessar vários avisos assustadores do iOS para concluir a instalação, mas mesmo assim muita gente participava em troca de pequenos vales-presente

    • A Meta pôde repetir esse tipo de prática porque as punições aplicadas no passado nunca foram suficientes para impedir reincidência

    • A plataforma de VR Quest da Meta vendeu cerca de 20 milhões de unidades no acumulado, o que é muito pouco para uma empresa que precisa de uma base gigantesca de usuários como o Facebook. Até um produto bem-sucedido como o Quest 2 (14 milhões de unidades) já foi descontinuado há 9 meses. Isso parece muito longe de um crescimento explosivo

  • Surge a ideia de que o engenheiro que implementou esse sistema talvez seja um de nós no Hacker News. Presume-se que Zuck não tenha desenvolvido isso pessoalmente

    • Aqui no Hacker News, quando se pede que engenheiros reflitam eticamente sobre o que fazem, muitas vezes surge a resposta: “eu só quero construir tecnologia legal, não me importa para que a empresa vai usar isso”. Também existe a postura cínica de “sou só um code monkey; se o gerente mandar construir o Torment Nexus, eu construo”

    • Piada de que a razão de a Meta precisar de IA para implementar isso é que a IA não recusa o trabalho

  • Há dois problemas visíveis. Primeiro, no Android apps podem abrir portas sem permissões separadas. E apps também podem se comunicar entre si sem permissões adicionais. Segundo, o navegador permite que qualquer domínio acesse serviços em localhost. Já houve problemas de segurança no passado com acesso a serviços de desenvolvimento rodando em localhost. Parece que algo precisa ser melhorado

    • Separando a questão de forma mais precisa: primeiro, qualquer app pode ficar ouvindo em uma porta sem permissão extra; segundo, qualquer app pode acessar portas locais sem permissão extra. Por esse motivo, a pessoa chegou a testar, no desktop, isolar o navegador dentro de um namespace de rede. A visão é que sites não deveriam poder acessar livremente serviços locais em localhost

    • Concorda que esses dois pontos técnicos são problemas, mas mesmo assim o Facebook não deveria fazer esse tipo de coisa

    • Para abrir portas, apps Android precisam da permissão android.permission.INTERNET. Essa permissão é concedida automaticamente na instalação por padrão, embora existam variantes como GrapheneOS que permitem bloqueá-la separadamente. Pelo que a pessoa sabe, hoje ainda não há suporte para um controle mais fino como “permitir apenas comunicação interna”

    • Também existe uma proposta para restringir sites de acessarem a rede local do usuário sem permissão explícita https://github.com/explainers-by-googlers/local-network-access

  • Se o app do Facebook ou Instagram estiver instalado em um telefone Android, com a conta logada, e sem configurações específicas para bloquear coisas como pixels de rastreamento, a pessoa pode ser afetada por este caso. A parte que parece especialmente grave é a capacidade de contornar VPN ou modo anônimo. Muita gente acha que esses modos garantem privacidade completa, quando na prática eles servem mais para parecer uma nova sessão ou outra localização

    • Do ponto de vista de um usuário comum, é compreensível achar que VPN e navegação privada já bastam. O navegador se comunicar secretamente com apps do telefone e vincular todas as ações à conta da pessoa é ir longe demais

    • O rastreamento pode piorar ainda mais quando os apps do Facebook ou Instagram ficam realmente ativos em segundo plano. Alguns usuários odeiam profundamente apps rodando em background e, por isso, sempre os encerram assim que terminam de usar

  • Aponta-se que o problema real está no WebRTC. O WebRTC deveria vir desativado por padrão e, no mínimo, ficar atrás de um diálogo de solicitação de permissão. Claro que o Facebook exigiria a ativação do WebRTC sob o pretexto de alguns recursos como chat, e no fim 99% dos usuários acabariam concordando

  • Não se entende por que a Meta precisaria ir tão longe. Ela já dispõe de técnicas de rastreamento como fingerprinting, então não parecia necessário assumir um risco adicional tão grande. Talvez esse método fosse usado como grupo de teste para verificar o desempenho de outras técnicas de rastreamento, ou como uma alternativa pronta para substituir rapidamente outras abordagens quando alguma delas fosse descoberta ou corrigida. Continuar usando um método tão obviamente propenso a ser descoberto parece realmente estúpido

    • Esse comportamento existe porque a empresa opera com uma mentalidade sociopata. Quando dizem “não pode”, isso vira um desafio a ser superado sem ser pego

  • Menciona-se que a explicação “o script do Meta Pixel envia o cookie _fbp para o app nativo do Instagram ou do Facebook por meio de SDP munging via WebRTC (STUN)” é um hack realmente absurdo

    • Questiona-se como um método desses conseguiu aprovação