2min Security

Meta en Yandex volgden gebruikers zonder toestemming via geheime trackingmethode

Meta en Yandex volgden gebruikers zonder toestemming via geheime trackingmethode

Zonder toestemming volgden Meta en Yandex het surfgedrag van gebruikers van Facebook, Instagram en andere apps. Onderzoekers van de Radboud Universiteit en KU Leuven ontdekten dat beide bedrijven via een onbekende methode data verzamelden over de websites die gebruikers bezochten in hun browser, zelfs als ze in Incognito Mode surften.

Zonder toestemming

De Android-apps van Meta en Yandex luisterden op specifieke poorten via een lokale webserver die automatisch op de achtergrond draait bij apps met internetrechten. Hierdoor konden websites met trackingpixels van Meta en Yandex, die op miljoenen pagina’s staan, gegevens van de browser direct koppelen aan de geïnstalleerde app en het ingelogde account van de gebruiker. Volgens de onderzoekers werd deze informatie vervolgens zonder medeweten van de gebruiker doorgestuurd naar de servers van Meta of Yandex.

“Deze techniek omzeilt actief de standaard privacybescherming van Android en browsers”, aldus de onderzoekers. Yandex zou deze methode al sinds 2017 gebruiken, Meta sinds september 2024. Kort na de publicatie van het onderzoek, in juni 2025, stopte Meta naar verluidt met het versturen van deze data via de zogeheten Meta-pixel.

Tracking

Wat de zaak extra ernstig maakt, is dat gebruikers en websitebeheerders niet op de hoogte zijn gesteld van deze vorm van tracking. “Meta heeft website-eigenaren niet geïnformeerd over deze methode en vragen hierover werden genegeerd”, zegt onderzoeker Gunes Acar. Volgens zijn collega Narseo Vallina-Rodríguez was er tot hun ontdekking geen enkele bescherming tegen deze vorm van tracking ingebouwd in Android of de meeste browsers.

Te weinig controle

Browserontwikkelaars werken nu aan oplossingen. Google Chrome zou op korte termijn maatregelen treffen om deze kwetsbaarheid te dichten. Tot die tijd raden de onderzoekers aan om de apps van Facebook, Instagram en Yandex te verwijderen om verdere tracking te voorkomen.

Dit onderzoek legt pijnlijk bloot hoe moderne platforms te weinig controle bieden over lokale communicatie, en hoe machtige techbedrijven daar misbruik van kunnen maken.