Meta en de Russische internetgigant Yandex volgden het browsegedrag van Facebook- en Instagram-gebruikers zonder hun toestemming, zo blijkt uit onderzoek van de Radboud Universiteit en KU Leuven. De techbedrijven omzeilden daarbij actief de privacybescherming van Android en incognitomodi in browsers.

Volgens de wetenschappers luisterden de Android-apps van Meta (sinds september 2024) en Yandex (sinds 2017) stiekem op specifieke netwerkpoorten. Hierdoor konden ze bijhouden welke websites gebruikers bezochten, zelfs in privébrowsers. De methode combineerde de apps met zogeheten trackingpixels – onzichtbare code-elementen van Meta en Yandex die op miljoenen websites actief zijn.

Lokale servers als spil
Het lek ontstond doordat Android-apps met internettoestemming een lokale webserver op de achtergrond kunnen starten. Browsers op hetzelfde toestel kunnen hier vervolgens data naartoe sturen. Hierdoor kon JavaScript op webpagina’s identifiers en surfgedrag delen met de apps van Meta en Yandex, waarna deze data gekoppeld werd aan gebruikersaccounts en naar hun servers werd gestuurd.

"Deze aanval was mogelijk door het gebrek aan controle over localhost-communicatie op moderne platforms. Android-gebruikers waren tot onze openbaarmaking volledig weerloos," aldus hoofdonderzoeker Narseo Vallina-Rodríguez van de Radboud Universiteit.

Geen transparantie, snelle stopzetting
De onderzoekers benadrukken dat er geen bewijs is dat Meta of Yandex websites of eindgebruikers over deze praktijk informeerde. "Meta negeerde bovendien klachten van websitebeheerders," stelt mede-onderzoeker Gunes Acar. Opvallend genoeg stopte de Meta-pixel op de dag van publicatie (8 juni 2025) met het versturen van data via localhost.

Browserontwikkelaars zoals Google Chrome werken inmiddels aan oplossingen. Tot die tijd raden de wetenschappers gebruikers aan om apps van Meta en Yandex niet te installeren. "Dit raakt alle grote Android-browsers," klinkt het. "Zonder ingrijpende platformwijzigingen blijft het risico bestaan."