 |
| cover | topik.id |
Penelusuran ini terjadi melalui komunikasi rahasia antara browser seluler pengguna dan aplikasi Android yang berjalan di latar belakang menggunakan soket localhost. Teknik ini memanfaatkan lubang keamanan dalam sistem operasi Android.
"Kami mengungkap metode pelacakan baru oleh Meta dan Yandex yang berpotensi memengaruhi miliaran pengguna Android. Kami menemukan bahwa aplikasi Android asli—termasuk Facebook, Instagram , dan beberapa aplikasi Yandex termasuk Maps dan Browser—secara diam-diam mendengarkan pada port lokal tetap untuk tujuan pelacakan," ungkap peneliti Local Mess dalam laporan temuannya, dilansir Rabu (4/5/2025).
Meta Pixel dan Yandex Metrica, dua alat analitik populer, memuat skrip JavaScript di situs web yang kemudian terhubung dengan aplikasi Android asli, menjembatani data dari browser ke aplikasi, seperti ID iklan dan cookie.
Praktik ini melewati perlindungan privasi yang umum, termasuk penghapusan cookie, Mode Penyamaran, dan bahkan kontrol izin Android, memungkinkan pelacakan lintas aplikasi dan lintas situs yang tidak diinginkan.
Dalam kasus Meta, cookie _fbp dikirim dari browser ke aplikasi melalui protokol WebRTC menggunakan teknik "SDP Munging". Ini memungkinkan aplikasi Meta untuk mengaitkan sesi browser dengan identitas pengguna.
Aplikasi Facebook dan Instagram yang tersedia di Google Play Store diketahui mendengarkan di port tertentu (12580–12585 untuk UDP, dan 12387–12388 untuk TCP) untuk menerima data dari browser.
"Aplikasi Android asli ini menerima metadata, kuki, dan perintah peramban dari skrip Meta Pixel dan Yandex Metrica yang disematkan di ribuan situs web. JavaScript ini dimuat di peramban seluler pengguna dan terhubung secara diam-diam dengan aplikasi asli yang berjalan di perangkat yang sama melalui soket localhost," terangnya.
Pengguna yang login ke aplikasi Meta dan membuka situs yang menggunakan Meta Pixel secara otomatis membuat koneksi antara data browser dan akun mereka, bahkan tanpa menyadari hal tersebut.
Yandex menggunakan pendekatan yang mirip namun melalui HTTP dan HTTPS ke alamat 127.0.0.1. Aplikasi seperti Yandex Maps, Browser, dan Navigator secara aktif mendengarkan port seperti 29009, 29010, 30102, dan 30103.
Skrip Yandex Metrica menyematkan data ID pengguna yang dikumpulkan melalui API Android, lalu mengirimkannya ke server Yandex setelah menjembatani dengan browser. Ini berpotensi membuka akses ke data sensitif pengguna.
"Karena aplikasi asli mengakses pengenal perangkat secara terprogram seperti Android Advertising ID (AAID) atau menangani identitas pengguna seperti dalam kasus aplikasi Meta, metode ini secara efektif memungkinkan organisasi ini untuk menautkan sesi penelusuran seluler dan kuki web ke identitas pengguna , sehingga menghilangkan anonimitas situs yang dikunjungi pengguna yang menyematkan skrip mereka," bebernya.
Penggunaan HTTP dalam pelacakan Yandex juga meningkatkan risiko disadap oleh aplikasi pihak ketiga berbahaya yang mendengarkan port yang sama. Hal ini memungkinkan kebocoran riwayat penelusuran tanpa sepengetahuan pengguna.
Peneliti membuat aplikasi bukti konsep yang mampu menangkap URL yang dikunjungi pengguna hanya dengan mendengarkan port yang digunakan Yandex. Ini membuktikan tingkat risiko tinggi dari metode ini.
Meta Pixel diketahui tertanam di lebih dari 5,8 juta situs, sementara Yandex Metrica digunakan di hampir 3 juta situs. Ini menandakan luasnya cakupan potensi pelacakan diam-diam ini.
Pengujian terhadap 100 ribu situs.
 |
| Local Mess |
Dalam pengujian terhadap 100 ribu situs teratas, ribuan situs secara aktif mengaktifkan komunikasi localhost tanpa persetujuan pengguna, menunjukkan bahwa praktik ini tidak transparan dan berpotensi melanggar privasi.
"Metode berbagi ID web ke aplikasi ini mengabaikan perlindungan privasi umum seperti menghapus kuki, Mode Penyamaran, dan kontrol izin Android. Lebih buruk lagi, metode ini membuka peluang bagi aplikasi berbahaya yang berpotensi menyadap aktivitas web pengguna," ungkap dalam laporan itu.
Meta tampaknya mulai menghentikan teknik lama mereka seperti HTTP dan STUN, beralih ke metode TURN yang lebih sulit dideteksi. Namun, hingga kini, belum ada dokumentasi resmi yang menjelaskan alasan perubahan ini.
Pengguna sering kali tidak menyadari praktik ini karena komunikasi terjadi meski mereka tidak login, dalam Mode Penyamaran, atau setelah menghapus cookie. Ini menunjukkan bahwa isolasi data tidak berfungsi sebagaimana mestinya.
Browser seperti Chrome dan Firefox masih terpengaruh oleh praktik ini. Brave dan DuckDuckGo menawarkan perlindungan lebih baik melalui pemblokiran permintaan ke localhost dan domain pelacak.
Peneliti menyampaikan temuannya ke vendor browser utama seperti Chrome, Mozilla, dan Brave. Sebagian vendor sudah merilis pembaruan untuk membatasi akses ke port yang disalahgunakan.
Namun, solusi menyeluruh memerlukan kebijakan sandboxing dan kontrol IPC (komunikasi antarproses) Android yang lebih ketat, serta kontrol yang memberi tahu pengguna saat komunikasi localhost terjadi.
Pengujian awal menunjukkan bahwa penyalahgunaan ini belum terjadi di iOS, kemungkinan karena pembatasan sistem latar belakang yang lebih ketat. Namun, kemungkinan eksploitasi di masa depan masih terbuka.
Hingga kini, tidak ada dokumentasi resmi dari Meta maupun Yandex tentang metode pelacakan ini. Keluhan dari pengembang telah muncul sejak 2024, namun tidak mendapat respons memadai dari perusahaan terkait.
"Mulai 3 Juni 7:45 CEST, skrip Meta/Facebook Pixel tidak lagi mengirimkan paket atau permintaan apa pun ke localhost. Kode yang bertanggung jawab untuk mengirimkan cookie _fbp telah dihapus hampir seluruhnya," tulis pembaruan penelitian itu.
.png%20(1).webp "10 Platform AI terpopuler di dunia skala 2025, ChatGPT rajanya")