Facebook opět ukázal, že ve snaze šmírovat uživatele nezná hranice

To, že se uživatelská data pro velké tech korporace stala surovinou potřebnou k vytěžení, už nějaký pátek víme. Některé z těchto společností se chovají doslova jako hackeři. A nám je to jedno.

Nedávný výzkum inženýrů Radboudské Univerzity v Nizozemí odhalil, že společnost Meta skrytě shromažďovala záznamy o prohlížení webových stránek na zařízeních s operačním systémem Android.

Ani společnost Google, vlastník operačního systému Android, nebyla informována o tom, že aplikace Facebook a Instagram od společnosti Meta po několik měsíců nepozorovaně získávaly uživatelská data prostřednictvím digitálních zadních vrátek.

Zásahy společnosti Meta do soukromí uživatelů nejsou novinkou. Nicméně výzkumníky překvapila zejména použitá metoda, která byla natolik invazivní, že zaskočila i zkušené specialisty na digitální soukromí. Bez zajímavosti také není fakt, že druhou společností, která stejný způsob kradení uživatelských dat využívala, byla ruská společnost Yandex. Ta provozuje v Rusku nejpoužívanější prohlížeč stejného jména a balík internetových služeb podobně jako Google, či Microsoft.

Hackerské praktiky společnosti Meta

Gunes Acar, odborný asistent na Radboudské Univerzitě v Nizozemsku, zaznamenal podezřelé chování při analýze webových stránek univerzity v rámci přípravy na kurzy zaměřené na online sledování a ochranu soukromí.

Miliony webových stránek dnes obsahují fragmenty kódu společnosti Meta, které zaznamenávají uživatelskou aktivitu na webu. Meta využívá data získaná prostřednictvím těchto útržků kódu k vytváření uživatelských profilů pro reklamní účely.

Podle Acara obvykle proudí informace z tohoto softwaru jednosměrně – z uživatelova zařízení do cloudového úložiště společnosti Meta. Acar však zaznamenal, že tentokrát se tento software pokoušel navázat zpětné spojení s jeho zařízením, které bylo upraveno tak, aby se simulovalo prohlížeč Chrome na telefonu s Androidem.

Za účelem objasnění tohoto chování Acar přizval ke spolupráci kolegy z výzkumné skupiny Computer Security and Industrial Cryptography na KU Leuven v Belgii a z institutu IMDEA Networks ve Španělsku.

Podle technické analýzy serveru Ars Technica výzkumníci zjistili, že aplikace společností Meta a Yandex obcházely ochranu soukromí na zařízeních s Androidem, což jim umožňovalo tajně sledovat uživatele při prohlížení webových stránek.

Takové chování by nemělo být možné – aplikace v telefonu jsou standardně izolovány a neměly by mít přístup k aktivitám v jiných aplikacích, včetně webových prohlížečů, jako je Chrome. Meta a Yandex však našly způsob, jak tato omezení obejít. Zde je nutné ještě doplnit, že aplikace disponují možností výměny nasbíraných dat přes specializované rozhraní. Malé společnosti tímto způsobem přímo ve svých aplikacích umožňují tato data sdílet velkým korporacím, za což od nich následně inkasují poplatky. Uživatelé systému iOS mají možnost tuto aktivu zablokovat. Ti s Androidem mají smůlu, protože by to šlo přímo proti obchodnímu modelu společnosti Google a monetizační filozofii samotného Androidu, který stále většina uživatelů vnímá v intencích – je to zadarmo. V tomto případě se ale jednalo o přímý přístup k datům z prohlížeče Chrome, bez využití tohoto rozhraní, tj „vědomí“ prohlížeče a Googlu samotného.

Podle Dolanjského byly použité techniky v podstatě srovnatelné s malwarem, tedy typem viru – škodlivého softwaru, který používají hackeři a další digitální zločinci.

Společnost Google označila jednání společností Meta a Yandex za „hrubé porušení našich zásad bezpečnosti a ochrany soukromí“.

Meta uvedla, že jedná s Googlem o vyjasnění celé záležitosti a že dané praktiky pozastavila. Yandex prohlásil, že „neshromažďuje žádné citlivé informace“ a rovněž ukončil činnost, kterou výzkumníci popsali. Obojí se potvrdilo a výzkumníci od 3. června tohoto roku zaznamenali ukončení těchto aktivit.

Výzkumný tým dále uvedl, že nemá důkazy o tom, že by Meta a Yandex prováděly podobné aktivity na zařízeních Apple.

Albert Fox Cahn, výkonný ředitel organizace Surveillance Technology Oversight Project, uvedl, že „bychom měli být zjištěními výzkumníků pobouřeni“.

U tohoto prohlášení se stojí za to zastavit. Ano, měli bychom, ale nejsme. Výzkumy ukazují, že lidé většinově naprosto rezignovali na zabezpečení svého soukromí při používání mobilních zařízení a ani tato zpráva nezpůsobí žádný velký rozruch. Uživatelé si dále budou instalovat na své telefony aplikace společností, o kterých se právě dozvěděli, že jim do jejich telefonů nainstalovali malware, skrze nějž je sledovali a sbírali neoprávněně informace o jejich aktivitách na webu. Pravidelný přísun oxytocinu a dopaminu servírovaný pozorností v podobě lajků a smajlíků, pocit že by nám mohlo něco utéct, že bychom mohli přestat být vidět, že bychom byli vyčleněni atd., to vše je pro naprostou většinu uživatelů těchto sítí důležitější než zmíněné skutečnosti. Otázkou pak zůstává, jestli je pak možné ještě mluvit o tom, že jsme obětmi nekalých praktik těchto společností. Oběť totiž pachateli k tomu, aby ji okrádal, nedává dobrovolně souhlas v podobě klíče od svého bytu.

PS: Možná si čtenář klade otázku, jak alespoň částečně zabránit podobným pokusům o šmírování. Několik jednoduchých možností se naskýtá. Ačkoliv ani ty nejsou všespásné, mohou aktivity obchodníkům s naším soukromím hodně znepříjemnit. Jaké to tedy jsou? Nepoužívat prohlížeč Chrome a neinstalovat si aplikace sociálních sítí na mobilní zařízení. Pokud se od sociálních sítí nedokážete odtrhnout, sledujte je skrze nějaký bezpečnější prohlížeč (Firefox, Brave, Safari…) Sekundární efekt tohoto opatření je, že budete tyto sítě navštěvovat méně, protože to nebude tak pohodlné, jako při používání nativních aplikací.

Zdroje

Disclosure: Covert Web-to-App Tracking via Localhost on Android: https://localmess.github.io/

Meta found a new way to violate your privacy. Here’s what you can do. https://www.washingtonpost.com/technology/2025/06/06/meta-privacy-facebook-instagram/