Millions of Android Users Secretly Tracked: Shocking New Report Exposes Facebook, Instagram & Yandex’s Hidden Spy Tactics

La privacy di Android sotto assedio: Facebook, Instagram e Yandex colti a raccogliere segretamente i dati di navigazione degli utenti tramite backdoor nascoste

Nuove ricerche rivelano che Facebook, Instagram e Yandex hanno tracciato segretamente le abitudini di navigazione degli utenti Android, eludendo i controlli sulla privacy e la modalità incognito.

Fatti Veloci

  • 78% dei siti top con Meta Pixel tentano di trasferire dati nascosti su Android
  • 84% dei siti tracciati da Yandex utilizzano comunicazioni locali ancora più aggressive
  • Oltre 8,8 milioni di siti web incorporano codice di tracciamento Meta o Yandex a livello globale
  • Milioni di dispositivi Android a rischio di sorveglianza cross-platform

Un rapporto scioccante dell’IMDEA Networks Institute ha rivelato una rete sofisticata di sorveglianza su Android orchestrata dalle più grandi piattaforme tecnologiche del mondo. Facebook e Instagram, di proprietà di Meta, insieme al gigante russo Yandex, sono implicati nel tracciamento segreto di miliardi di utenti Android, anche di quelli che operano in modalità incognito o con impostazioni di privacy attivate.

Sotto la superficie, queste app popolari hanno sfruttato porte di rete nascoste per raccogliere dati di navigazione web, collegandoli ai profili degli utenti loggati senza la loro conoscenza o consenso.

Q&A: Cosa hanno scoperto i ricercatori sul tracciamento delle app Android?

Invece di fare affidamento su cookie del browser facilmente cancellabili, Facebook, Instagram e Yandex hanno approfittato di funzionalità obscure di Android. Una volta installate, le loro app impostano silenziosamente “listener” in background—simili a radio private—sulle porte di rete del dispositivo. Mentre gli utenti ignari visitano milioni di siti web infusi di pixel di tracciamento Meta e Yandex, il codice JavaScript sottrae silenziosamente gli identificatori degli utenti e i cookie, reindirizzando i dati tramite connessioni localhost direttamente nelle app che funzionano silenziosamente in background.

Le app di Meta hanno utilizzato astuti trucchi di “SDP munging” WebRTC per nascondere questa attività, mentre il metodo di Yandex era ancora più sfacciato, utilizzando richieste HTTP non criptate per operare come un sistema di “command-and-control” da malware, secondo i ricercatori. Le app di Yandex attendevano intenzionalmente giorni dopo l’installazione per attivare il tracciamento—probabilmente per sfuggire alla rilevazione.

Quanti utenti e siti sono colpiti?

La scala è vasta: oltre 5,8 milioni di siti includono il pixel di tracciamento di Meta, e Yandex Metrica è presente su 3 milioni di altri. I ricercatori hanno scoperto che sui 100.000 siti web top al mondo, quasi 8 su 10 tentavano comunicazioni localhost in modo covert su dispositivi Android.

Di conseguenza, miliardi di utenti Android a livello globale potrebbero avere le loro sessioni di navigazione private—including attività in incognito o con protezioni sulla privacy attivate—collegate direttamente alle loro identità di app loggate.

In cosa si differenzia da un normale tracciamento web?

I tracciatori pubblicitari tradizionali si affidano a cookie del browser o meccanismi di archiviazione che gli utenti possono cancellare, evitare o bloccare—specialmente con browser focalizzati sulla privacy come Firefox e Safari. Ma queste tecniche Android operano a livello di sistema operativo, eludendo i controlli del browser, la navigazione privata e persino le restrizioni sulle impostazioni di localizzazione. La sorveglianza continua anche se gli utenti non sono loggati a Facebook o Instagram nel loro browser.

Potrebbe questo aprire la porta ai pirati informatici?

Sì, ecco la parte più allarmante: il team di ricerca ha costruito un’app di prova di concetto che potrebbe sfruttare questa falla localhost. Qualsiasi app malevola utilizzando il metodo di Yandex potrebbe raccogliere la cronologia completa di navigazione degli utenti in tempo reale—senza bisogno di consenso dell’utente. La mancanza di crittografia nel sistema di Yandex la rende ancora più pericolosa.

Meta o Yandex hanno informato gli utenti o gli sviluppatori?

La maggior parte dei proprietari di siti web sembra essere all’oscuro di questi passaggi di dati segreti. I forum pubblici per sviluppatori hanno a lungo documentato confusi rapporti di pixel Meta che si connettono a porte locali, con poco o nessun riconoscimento da parte di Meta o Yandex nella loro documentazione o nelle risposte di supporto.

Cosa si sta facendo per fermare questo?

La ricerca è stata resa pubblica all’inizio di giugno 2025. Quasi immediatamente, Meta sembra aver interrotto le sue tattiche di tracciamento nascoste—la raccolta di dati covert di Facebook è cessata proprio il giorno in cui è scoppiato lo scandalo. In risposta, Google Chrome (versione 137, rilasciata a maggio 2025) ora blocca le porte sfruttate e disabilita i trucchi WebRTC. Altri produttori di browser stanno seguendo l’esempio.

Eppure, come spiega Narseo Vallina-Rodriguez di IMDEA, questa è solo una soluzione temporanea—il problema fondamentale è la mancanza di controllo di Android sulle comunicazioni localhost. Sono necessarie future modifiche a livello di piattaforma e politiche più severe per i negozi di app per una protezione duratura degli utenti.

Come possono gli utenti Android proteggersi ora?

Fino a quando non arriveranno le salvaguardie a livello di piattaforma, i ricercatori raccomandano di disinstallare Facebook, Instagram e tutte le app Yandex coinvolte e utilizzare browser focalizzati sulla privacy. Ma per molti, questo è un sacrificio impraticabile che evidenzia la misura in cui la scelta degli utenti e il consenso sono stati elusi nell’ecosistema app odierno.

Come: Difendere la tua privacy di navigazione su Android

  • Rimuovi o disabilita le app di cui non ti fidi, specialmente le app a marchio Facebook, Instagram e Yandex
  • Tieni aggiornato il tuo browser—e il tuo dispositivo—alla versione più recente
  • Utilizza browser focalizzati sulla privacy con funzionalità anti-tracciamento rigorose
  • Monitora la ricerca degli sviluppatori, notizie sulla privacy e recensioni su destinazioni affidabili come Ars Technica e Wired
  • Evita di effettuare accessi a app sensibili durante la navigazione, o utilizza un dispositivo dedicato

Proteggi i tuoi dati—Resta informato, Agisci ora!

  • ✔ Aggiorna il tuo browser Android (cerca Chrome 137 o versioni successive)
  • ✔ Disinstalla app sospette o non affidabili
  • ✔ Passa a strumenti focalizzati sulla privacy dove possibile
  • ✔ Sostieni il reporting scientifico indipendente affinché le indagini come questa continuino
Exposing Meta and Yandex's Covert Tracking Tactics | Android Privacy Breach

ByMoira Zajic

Moira Zajic je ugledna autorica i mislilac u područjima novih tehnologija i fintech-a. Sa magistarskom diplomom iz informacijskih sustava s prestižnog Sveučilišta Valparaiso, Moira kombinuje robusnu akademsku pozadinu s dubokim razumijevanjem brzo razvijajuće tehnološke scene. Sa više od deset godina profesionalnog iskustva u Solera Technologies, izbrusila je svoje znanje u financijskim inovacijama i digitalnoj transformaciji. Moirino pisanje odražava njezinu strast prema istraživanju kako napredne tehnologije preoblikuju financijski sektor, nudeći pronicljive analize i perspektive usmjerene prema budućnosti. Njezin rad je objavljen u uglednim industrijskim publikacijama, gdje nastavlja inspirirati profesionalce i entuzijaste.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *