'Meta had vanaf september inzage in surfgedrag van Android-gebruikers'

Meta heeft sinds september inzage gehad in het surfgedrag van Android-gebruikers die ingelogd waren op de Facebook- of Instagram-app. Die apps gebruikten een server om het surfgedrag van gebruikers te volgen. Dat werd vervolgens aan de accounts van gebruikers gekoppeld.

Onderzoekers van onder meer de Radboud Universiteit ontdekten dat Meta het surfgedrag van gebruikers in de gaten kon houden op websites die Meta Pixel hebben. Dat kon doordat Android-apps die internettoegang hebben een lokale webserver kunnen starten en op de achtergrond laten draaien. Meta gebruikte vervolgens JavaScript om data over het surfgedrag via WebRTC naar de Facebook- en Instagram-app te sturen. Daardoor kon die data worden verbonden aan het account van de gebruiker en doorgestuurd worden naar de servers van Meta. Het socialemediabedrijf is daar maandag, na door de media op zijn acties te zijn gewezen, mee gestopt, aldus de NOS.

Voor zover bekend heeft Meta het lek alleen op Android gebruikt. Beveiligingsonderzoeker Gunes Acar van de Radboud Universiteit wijst er echter op dat dit soort beveiligingsonderzoek moeilijker op iOS uit te voeren is. Daardoor is moeilijker te achterhalen of het lek ook op het mobiele besturingssysteem van Apple is misbruikt.

De NOS schrijft dat Meta zijn server in de eerste maanden ook onvoldoende beveiligd had. Daardoor hadden ook andere apps inzage kunnen krijgen in het surfgedrag van gebruikers. In hoeverre dat daadwerkelijk is gebeurd, is niet bekend.

Google reageert geïrriteerd op het nieuws en spreekt van een 'flagrante schending' van het beveiligings- en privacybeleid van het bedrijf. Google zegt maatregelen te hebben genomen om misbruik te voorkomen en werkt aan een update voor zijn webbrowser Chrome. Meta spreekt van een 'misverstand bij het toepassen van Googles beleid'.

Update, 3 juni, 18.03: Context toegevoegd over hoe het lek precies werkt.

IT-banen

Reacties (97)

locke960 3 juni 2025 18:06

Meta spreekt van een 'misverstand bij het toepassen van Googles beleid'.

Ammehoela! Als je de bron leest dan is het overduidelijk dat Meta bewust een infrastructuur heeft opgebouwd om te volgen wat je met je browser doet op het internet, en dat te koppelen aan je Facebook of Instagram account, zelfs als je in die browser niet bent ingelogd op Facebook of Meta. Zelfs in incognito mode.

De segregatie tussen browser en native apps, wat toch universeel als een goed idee wordt beschouwd, wordt hier bewust opgeheven. Dit is malware gedrag.

Finraziel

@locke960 • 3 juni 2025 23:45

Ik kreeg de indruk dat ze meer de vermoorde onschuld spelen door "oh ik dacht dat dat mocht" te zeggen, niet dat ze het per ongeluk deden of zo.

Uiteraard slaat het nog steeds nergens op, ze wisten natuurlijk heel goed waar ze mee bezig waren.

Aldy @Finraziel • 4 juni 2025 14:18

Uiteraard slaat het nog steeds nergens op, ze wisten natuurlijk heel goed waar ze mee bezig waren.

Ze schrijven nog net niet dat het bedrijf uit goedwillende amateurs bestaat en iemand een "foutje" heeft gemaakt.

Vexxon @locke960 • 4 juni 2025 12:17

Klinkt als: "Jullie privacy werd jarenlang geschonden vanwege een bug".
Van welk bedrijf kwam die uitspraak ook alweer (meerdere malen)?

ux15 @Vexxon • 4 juni 2025 18:18

Maak ons eens wijzer aub

hachee @locke960 • 5 juni 2025 08:10

Ik zou het geen malware willen noemen, maar eerder een symptoom van een groter probleem dat lijkt op metastase.

boratnl 3 juni 2025 18:12

Maar als ik het goed begrijp beperkte het surfgedrag dat kon worden gezien zich dus tot websites die de meta-pixel hanteren? (en wordt de werking van die meta-pixel niet nog bijvoorbeeld geblokkeerd door ad-blockers/browserinstellingen?)

Als het inderdaad tot sites met de Meta-Pixel beperkt blijft, voegt die hele constructie met een lokale server dan zoveel toe voor Meta? Ik neem aan dat de Meta-Pixel zelf ook al wel wat informatie over de gebruiker te zien krijgt (IP-adres en misschien user-settings) en dat die informatie ook redelijk te matchen is met de informatie die de Meta-apps hebben (IP-adres en andere gegevens over het toestel).

GertMenkel

Google
Google Android

@boratnl • 3 juni 2025 19:51

Surfgedrag van websites die de meta-pixel laden op apparaten die Facebook of Instagram hadden draaien. Wat overigens illegaal is volgens de AVG als je daar geen toestemming voor vraagt, natuurlijk.

Zolang je die apps niet gebruikt, gaat de trackinginformatie ook nergens heen.

Overigens had Yandex een soortgelijke tracker die minder vaak om toestemming vroeg, maar ook daar moet je de bijbehorende app hebben geïnstalleerd.

De belangrijke truc die ze hier uitvoeren is dat ze de informatie van hun app verreiken met websiteinformatie. Dat kan normaal niet bij Android. Ook kun je hiermee gebruikers volgen die hun browser op incognito hebben staan. Dit lijkt het profiel van een Facebookgebruiker met veel meer informatie.

Ook onderschat je mogelijk hoeveel websites de trackingpixel van Meta hebben. Dat zijn er gigantisch veel, en niet veel websites houden zich aan de privacywetgeving.

[Reactie gewijzigd door GertMenkel op 3 juni 2025 19:54]

PageFault @GertMenkel • 4 juni 2025 07:13

Ik gebruik de apps ook nooit, gewoon via de browser.

Maar kwalijk is dit wel, ook al doen ze nu alsof ze er niks van wisten. Dit kun je echt alleen bewust doen, dit gaat nooit per ongeluk. Het is gewoon proberen en zolang niemand klaagt, lekker doorgaan.

R4gnax

Privacy

@GertMenkel • 4 juni 2025 09:04

Zolang je die apps niet gebruikt, gaat de trackinginformatie ook nergens heen.

Zolang je die apps niet gebruikt, ging die tracking informatie naar alles toe wat toevallig op dezelfde poort aan het luisteren was. Het achtergrondartikel van Ars Technica stelt dat iedere applicatie die op die poort luisterde, de gegevens kreeg. De payload zal, met de bochten waar Meta zich doorheen gewrongen heeft om de STUN en daarna TURN protocollen te misbruiken, ook wel niet proper versleuteld zijn geweest.

Dat zou dan ook een met malware geinfecteerde Android applicatie kunnen zijn geweest die van het bestaan van deze tracking binnen de Facebook/Meta Pixel wist, bijv.

b12e @boratnl • 3 juni 2025 18:29

IP adres zegt helaas niet zo heel veel meer.

CG-NAT wordt op grote schaal toegepast, zeker bij mobiele verbindingen over 4G/5G. Daarbij zitten honderden of zelfs duizenden smartphones achter hetzelfde IP adres. Verder zullen er ook honderden zoniet duizenden identieke smartphones in omloop zijn (in Nederland zullen er vast best veel Samsung Galaxy S25's in omloop zijn op het netwerk van <een van de grote 3>, ingesteld in het Nederlands, met Google Chrome als browser en zonder adblocker of bijkomende extensies).

Device fingerprinting is nog wel een ding verder, maar dan is er nog altijd een kleine kans dat je niet uniek bent en dus niet te herleiden valt naar 1 specifiek persoon.

Met deze achterdeur kon Meta met 100% zekerheid zeggen dat jij degene was die op die site met trackingpixel zat, omdat een smartphone met ingelogd Meta account bijna 100% zeker enkel door jou gebruikt wordt om op het internet te surfen.

De pixel moest helemaal niet weten wie je bent - de app wist dat al - en het is diezelfde app die van de pixel informatie over surfgedrag kreeg via een lokale webserver waar de pixel mee kon communiceren.

[Reactie gewijzigd door b12e op 3 juni 2025 18:31]

boratnl @b12e • 4 juni 2025 10:52

Bedankt voor deze heldere uitleg!

Ik vroeg me vooral af wat Meta hier in de praktijk nou mee op zou schieten. Maar deze constructie geeft dus wel echt meer zekerheid dat browseruser X ook echt meta-app-gebruiker X is.

Voor browsergebruikers die ook metadiensten in de browser gebruiken (ingelogd), voegt deze constructie met de local server niks toe lijkt me, toch? Die worden op websites met de Meta-trackingpixel sowieso al herkend toch?

b12e @boratnl • 6 juni 2025 11:52

Daar is de toegevoegde waarde sessies in een incognito venster, waar je normaal dus niet bent ingelogd.

Sommige mensen gebruiken ook meer dan 1 browser en zijn dan misschien maar in eentje ingelogd ipv allemaal.

Cyb @boratnl • 3 juni 2025 22:23

Maar als ik het goed begrijp beperkte het surfgedrag dat kon worden gezien zich dus tot websites die de meta-pixel hanteren? (en wordt de werking van die meta-pixel niet nog bijvoorbeeld geblokkeerd door ad-blockers/browserinstellingen?)

Als je een goede ad-blocker hebt, zou deze meta-pixel moeten blokkeren, waardoor deze vergaande tracking methode niet meer werkt. Een andere optie is Brave browser, welke standaard toegang tot localhost blokkeert.

Als het inderdaad tot sites met de Meta-Pixel beperkt blijft, voegt die hele constructie met een lokale server dan zoveel toe voor Meta?

Zo'n "lokale server" is een lightweight embedded http services in Facebook Android app, er is dus geen sprake van een "hele" zware constructie, maar van iets wat Meta weinig zal kosten t.o.v. de hoeveelheid data die ze ermee kunnen bemachtigen. (Eventuele boetes nagelaten.)

Er zijn redelijk wat sites die Meta pixel gebruiken. Hier kan je een check uitvoeren welke sites dat o.a. zijn:
https://localmess.github.io/#FBTableWrapper
Denk aan: AH, eBay, Hema, Ziggo, Schiphol, Praxis, Pathe, Odido, Makro, Etos, Centerparcs, BNR, ALDI, Lidl, ANWB,

PaulHelper @Cyb • 4 juni 2025 14:32

Toch fijn dat ik Brave overal gebruik. Soms iets te aggressief. Maar liever een keer unblocken wanneer je de beoo vertrouwt dan hopen dat je nergens getracked wordt of gespamt wordt met ads.

Kalief 3 juni 2025 19:28

"Android-gebruikers die ingelogd waren op de Facebook- of Instagram-app. Die apps gebruikten"

Nee, er staat "Native Android apps, such as Facebook or Instagram" en "native Android apps - including Facebook, Instagram".

Het kan dus ook gaan om WhatsApp, Threads, Messenger, Workplace, Meta AI, Meta Horizon, Messenger Kids, Facebook Partner Summit en Meta Quest.

GertMenkel

Google
Google Android

@Kalief • 3 juni 2025 20:00

Mits deze een UDP-poort open hebben wel. En niet alleen die van Meta, overigens. Iedere app kan dit verkeer ontvangen. Meta heeft geen alleenrecht op poortnummers. Overigens heeft Meta nu ze betrapt zijn snel de zendcode uit hun script gehaald dus werkt hun tracker niet meer.

De onderzoekers hebben bewijs gevonden voor Instagram en Facebook, maar andere apps vind ik niks op terug. Kan in theorie natuurlijk (letterlijk iedere app van iedere maker kan die info ontvangen), maar ik heb nog geen bewijs gezien dat buiten die twee apps daadwerkelijk die data uitgewisseld wordt/werd.

De demo op hun website laat bijvoorbeeld zien hoe een app browsergeschiedenis kan uitlezen dankzij de tracker van Yandex (kopje "additional risk" op https://localmess.github.io/#yandex-metrica).

R4gnax

Privacy

@GertMenkel • 4 juni 2025 00:05

Overigens heeft Meta nu ze betrapt zijn snel de zendcode uit hun script gehaald dus werkt hun tracker niet meer.

Wat denken we?
Zou dat gezien kunnen worden als het moedwillig vernietigen van bewijsmateriaal?

GertMenkel

Google
Google Android

@R4gnax • 4 juni 2025 00:09

De code werkt al niet meer in Chrome en Firefox. Ze hebben hun zendcode aangepast om TURN te doen in plaats van STUN maar hun clients zijn nog niet up-to-date om TURN te ontvangen. Ook TURN gaan browsers binnenkort blokkeren.

Nu browsermakers het lek dichten, is de code nutteloos geworden. Dan kunnen ze net zo goed zo snel mogelijk stoppen om de potentiële privacyschendingsboete zo laag mogelijk te houden.

Bewijs hebben we toch al. Het Internet Archive en talloze andere archieven staan vol met code van ze, en we hebben papers die exact beschrijven wat ze doen en waarom.

Facebook schaamt zich op zijn minst genoeg om hun tracker uit te zetten. Dat kun je van de Russen niet zeggen.

XiliX @De_Daapse • 4 juni 2025 17:40

Mwa das wel een beetje kort door de bocht vind je zelf ook niet? Je ontkomt haast niet aan het hebben van Whatsapp want iedereen gebruikt het, dus als je mee wil met sociale kringen zal je wel moeten. Voor Instabook en Facegram kan je zonder app maar helemaal zonder kan ook haast niet, want geen enkele lokale bezienswaardigheid oid. heeft nog een fatsoenlijke up-to-date website en zetten alle info op een Meta platform.

djwice

3 juni 2025 22:33

Ik zou zeggen autoriteit persoonsgegevens van de EU: tijd voor een mega boete. Dit lijkt sterk op een bewuste overtreding van de AVG.

Romborum @djwice • 4 juni 2025 06:33

Elk land zou individueel de hoogste boete aan Facebook moeten geven. Sterker nog, bedrijf volledig splitsen. Verplicht WhatsApp laten verkopen als minimumeis. Hoogste directeuren strafrechtelijk vervolgen. Als je Facebook hiermee weg laat komen, dan kan je de hele avg en gdpr wel afschaffen.

Commendatore

3 juni 2025 17:29

Wat voor server?

Ik mis nogal wat details.

blaatenator @Commendatore • 3 juni 2025 18:42

Arstechnica heeft eea redelijk uitgebreid uitgeschreven: Linkje naar artikel

hanskroll @blaatenator • 3 juni 2025 19:51

Arstechnica

Waarom niet gewoon de link naar de studie? https://localmess.github.io/

hcQd @Commendatore • 3 juni 2025 17:33

Je kunt het bronartikel lezen. Er wordt door de betreffende apps geluisterd op bepaalde localhost tcp of udp poorten waar de meta-pixelcode op websites weer data naartoe stuurt.

Auteur

Imre Himmelbauer Redacteur @hcQd • 3 juni 2025 17:35

Dit inderdaad. Ik zal nog even wat details aan het stuk toevoegen.

Bzzje @Imre Himmelbauer • 3 juni 2025 19:52

@Imre Himmelbauer is bekend of het samenhangt met de 'verholpen bug' die jullie vandeweek postten?
nieuws: Google: Instagram-app kan door bug accu leeg laten lopen op Android

Auteur

Imre Himmelbauer Redacteur @Bzzje • 3 juni 2025 20:12

Voor zover ik weet is dat niet bekend helaas. Je zou ook zeggen dat er dan problemen en een bijbehorende update bij de Facebook-app zouden moeten zijn, maar dat is ook pure speculatie.

DealExtreme2 @Commendatore • 3 juni 2025 17:34

Ik vermoed een lokale server op de android telefoon. Een website kan dan middels javascript een verbinding maken met de lokale server en even vertellen dat de pagina bezocht wordt. Die server (gewoon een lokale listener) geeft dat door aan de servers van Meta. Op die manier ben je te tracken, ook in incognito, en ook als je op andere devices bent ingelogd, want ook daar ben je overal met je meta id bekend.

watabstract @Commendatore • 3 juni 2025 17:58

Ja ik was tweakers als een paar keer aan het refreshen omdat ik in het NOS-artikel nogal wat details miste, maar het artikel hier is nog korter en mist zo ongeveer alle technische uitleg.

Cyb @Commendatore • 3 juni 2025 21:02

"Server" is een groot woord, wat verwarring kan geven. Men denkt dan namelijk al snel aan grote bekende web server pakketten als Apache HTTPD, Nginx enz, maar je kan ook een embedded/lichtweight http "server" draaien in een app, waar de "server" code dan onderdeel van de app codebase is. Het is niets anders dan een TCP/UDP port openen, wat ook wel een server socket wordt genoemd, en waar je vervolgens handelingen uitvoert afhankelijk van bepaalde verzoeken die binnen komen. Je kan het vergelijken met een soort van deur die wordt toegevoegd aan app, waar verzoeken op kunnen binnenkomen. In dit geval gaat het echter niet om een voordeur, maar meer om een geniepig achterdeurtje gemaakt door Meta/Yandex om illegale privacy schendingen mee voor elkaar te krijgen.

Damic @Commendatore • 3 juni 2025 17:30

Servers van META natuurlijk.

DealExtreme2 @Damic • 3 juni 2025 17:35

Niet helemaal, een server op je lokale Android. Zie m'n reactie hieronder. Althans, dat denk ik, maar correct me if i'm wrong.

Mathijs Kok 3 juni 2025 20:00

Blijf onthouden dat het de websites zijn die het mogelijk maken. Het is makkelijk schelden op Meta maar als websites geen trackers voorschotelen dan heeft Meta niets te tracken.

jpfx @Mathijs Kok • 3 juni 2025 20:35

Dat is bullshit. Het is Meta die willens en wetens misbruik maakt van die mogelijkheid. Nog afgezien van dat die tracking pixels überhaupt uit de hoed van Meta komen.

jellebaris @Mathijs Kok • 3 juni 2025 20:50

Zwak argument dat net zo makkelijk omgedraaid kan worden. Als Meta die trackers niet bouwt, met de bijbehorende infrastructuur en vervolgens de gegevens niet illegaal verwerkt en waarschijnlijk ook nog eens de websites niet volledig informeert over wat er met de gegevens gebeurt, gaan die websites ook niet de fout in. Dat ontslaat de website niet van alle verantwoordelijkheid, maar Meta doet bewust een hele serie foute handelingen en de websites 1, en dan vaak nog onwetend. Dus de schuld voornamelijk bij de websites leggen vind ik wel heel cru.

Rogers 3 juni 2025 17:28

Jammer dat google niet als straf de facebook en instagram app (tijdelijk) schorst. En meteen een boete er achteraan vanuit de EU.
Moet maar eens ophouden met dat constante bespioneren van gebruikers en denken recht te hebben op al hun data.
(Niet dat google beter is)

[Reactie gewijzigd door Rogers op 3 juni 2025 17:30]

- peter -

@Rogers • 3 juni 2025 17:29

Idd, dit zou toch een schorsing moeten opleveren. Elke kleine dev word voor t minste of geringste uit Play of Admob gegooid, en zo'n duidelijke schending levert geen problemen op...

Tintel

Meta
Privacy
Bedrijfsnieuws

@- peter - • 3 juni 2025 17:55

Dat vooral; maar de echt grote boeven gaan wel omzichtig met elkaar om natuurlijk....

En dan nog durven zeggen dat het een misverstand was... dat is echt een toppunt van schaamteloosheid.

"Ja, agent het was echt een misverstand toen ik gas gaf en over die voetganger reed nadat op de zebra was gevallen. Ik meende dat hij dat wilde."

Alex3 @Rogers • 4 juni 2025 11:38

Dat zal Google niet doen, want dan wijken er mensen uit naar Apple. Een vette boete lijkt me wel op zijn plaats.

Vicje 3 juni 2025 17:38

Zelf heb ik geen Android, maar ik ben wel van mening dat het nu echt eens afgelopen moet zijn met dit gedrag van partijen als Meta. Zou je je als Android gebruiker nu kunnen verenigen en samen aangifte kunnen doen bij de politie?

William_H @Vicje • 3 juni 2025 19:32

Nee, want dit is een civiele zaak. Maar een groepsaanklacht zou wel kunnen.

Dubbeldrank

3 juni 2025 17:41

Dit is een enorme inbreuk op de privacy van gebruikers. Meta zou hier strafrechtelijk voor vervolgd moeten worden, dit bedrijf weet precies waar het mee bezig is. Om het op een 'misverstand' te gooien en dit te geloven zou echt te naïef zijn.

R4gnax

Privacy

@Dubbeldrank • 4 juni 2025 00:02

Ze wisten inderdaad precies waar ze mee bezig waren.
De rapportage van Ars Technica bevat hier veel meer informatie over.
Het bljkt dat er op meerdere manieren bewust misbruik van bepaalde protocollen is gemaakt om informatie cross-domain naar localhost weg te kunnen sluizen. Elke keer dat er een achterdeurtje midddels security patches gesloten werd, ging Meta op zoek naar een nieuw.

Eerst werd er gewoon een Fetch/XmlHttpRequest cross domain richting localhost gedaan.
Daarna zijn ze overgeschakeld op websockets en rauw TCP/UDP verkeer.
Toen dat niet meer werktte hebben ze middels een aanval op het STUN (Session Traversal Utilities for NAT) protocol zoals dat binnen WebRTC gebruikt wordt, een side-channel gemaakt om extra gegevens overheen mee te sturen. En toen dat niet meer werktte hebben ze eenzelfde soort misbruik, dit maal van het TURN (Traversal Using Relays around NAT) protocol, gepleegd.

Ja, het was een 'misverstand' - vast en zeker.
En de maan is van groene kaas gemaakt.

Hoe ging die ene aflevering van South Park ook al weer?
"We mis-interpreted the rules."

[Reactie gewijzigd door R4gnax op 4 juni 2025 09:00]

mutley69 3 juni 2025 21:00

Dat is in overtreding met de GDPR en wellicht ook DMA en DSA. Dus graag 30% boete van de wereldwijde omzet voor Meta (3x10%).

R4gnax

Privacy

@mutley69 • 4 juni 2025 00:09

GDPR/AVG gaat maar tot 4% boete.
Schendingen vallen afhankelijk van het geschonden wetsartikel in het 'laagtarief' van 2% of het 'hoogtarief' van 4%. Een schending van de informeringsplicht (Art 13+14) valt in het hoogtarief.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (97)

Sorteer op:

Weergave: