كشف تقرير تقني حديث عن واحدة من أخطر فضائح التتبع الرقمي حتى الآن، حيث تبين أن شركة "ميتا" (المالكة لفيسبوك وإنستجرام) إلى جانب شركة "ياندكس" الروسية، استغلتا ثغرة أمنية في نظام تشغيل أندرويد لتتبع نشاط مستخدمي الويب سرًا. ووفقًا للتقرير المعنون بـ"الإفصاح: التتبع الخفي من الويب إلى التطبيق عبر Localhost على أندرويد"، فقد تم هذا التجسس عبر ثغرة تتيح للتطبيقات المثبتة على الهاتف الوصول إلى بيانات التصفح من المتصفح نفسه، دون الحاجة إلى موافقة المستخدم، وفقا لـ lifehacker

بمجرد تثبيت تطبيقات مثل فيسبوك أو إنستجرام، أصبحت هذه التطبيقات قادرة على استرداد بيانات تصفح المستخدمين من مواقع تحتوي على أدوات تتبع مثل "Meta Pixel" أو "Yandex Metrica"، وذلك باستخدام ما يُعرف بعنوان "localhost"، وهو العنوان الذي يستخدمه الجهاز للتواصل مع نفسه داخليًا.

كيف تعمل آلية التتبع هذه؟

الثغرة تعتمد على السماح لتطبيقات أندرويد التي تمتلك إذن الاتصال بالإنترنت بالوصول إلى "localhost" أو ما يُعرف بعنوان الارتداد الداخلي. هذه الإمكانية تستغلها بعض جافاسكريبتات المدمجة داخل مواقع الويب للاتصال بالتطبيقات المثبتة على الجهاز، ومشاركة بيانات التصفح معها.

وتوضح الدراسة أن أدوات مثل "Meta Pixel" التي صممت لتتبع المستخدمين على المواقع الإلكترونية، استغلت هذا المسار لإرسال ملفات تعريف الارتباط (كوكيز) ومعرفات التتبع مباشرة إلى تطبيقات ميتا، كإنستجرام وفيسبوك. والمثير أن ذلك تم بمجرد زيارة المستخدم لموقع يضم كود "Meta Pixel"، ليبدأ نقل البيانات سرًا من دون أي علم أو موافقة.

تطبيقات شهيرة متأثرة.. ومستخدمون بلا حماية

تشير التحقيقات إلى أن هذا التتبع أثر على معظم المتصفحات الرئيسية مثل كروم وفايرفوكس وإيدج. أما متصفح "DuckDuckGo" فقد تصدى جزئيًا لهذا التتبع، بينما قدم "Brave" حماية حقيقية، إذ يمنع الاتصالات مع "localhost" دون إذن صريح من المستخدم.

المثير أيضًا أن شركة "ياندكس" بدأت هذا النوع من التتبع منذ عام 2017 على المواقع غير الآمنة (HTTP)، ومنذ 2018 على المواقع المشفرة (HTTPS). أما "ميتا" فقد بدأت هذا النوع من التتبع في سبتمبر 2024، وتوقفت عنه في أكتوبر، لكنها عادت مرة أخرى باستخدام تقنيات جديدة مثل WebSocket وWebRTC في الشهور التالية.

هل توقفت ميتا عن هذا التتبع؟

بحسب التقرير، توقفت "ميتا" عن إرسال بيانات عبر "localhost" في 3 يونيو 2025، عقب الكشف العلني عن هذه الممارسات. أما "ياندكس" فقد صرحت لموقع "Ars Technica" بأنها بصدد وقف هذا الأسلوب أيضًا، فيما بدأت شركة "جوجل" تحقيقًا رسميًا حول هذه الانتهاكات التي وصفتها بأنها "تتعارض صراحةً مع مبادئ الأمن والخصوصية".

رغم توقف ميتا عن الممارسة مؤخرًا، فإن الضرر قد يكون قد وقع بالفعل. فوفقًا للإحصاءات، هناك ما بين 2.4 إلى 5.8 مليون موقع يستخدمون Meta Pixel. وقد حدد الباحثون أكثر من 17 ألف موقع أميركي حاول التواصل مع "localhost"، وأكثر من 78% منها فعلت ذلك دون الحصول على إذن المستخدم، ومن بين تلك المواقع أسماء كبرى مثل وكالة "AP News" وموقعي "Buzzfeed" و"The Verge".

تعليق ميتا: محاولة تبرير أم تهرب؟

ردًا على الاستفسارات الصحفية، أرسلت ميتا تصريحًا مقتضبًا جاء فيه: "نحن في محادثات مع جوجل لمعالجة احتمال وجود سوء فهم يتعلق بتطبيق سياساتهم. وعندما علمنا بالمخاوف المثارة، قررنا إيقاف هذه الميزة مؤقتًا أثناء العمل مع جوجل على حل المشكلة".

لكن السؤال الأهم الذي يطرحه التقرير، هو: كيف سمحت ميتا لنفسها بالوصول إلى بيانات حساسة بهذه الطريقة دون أي علم من المستخدمين؟ ولماذا لم ترد على شكاوى أصحاب المواقع الذين لاحظوا هذه الممارسات منذ شهور؟

هل أجهزة آيفون آمنة من هذا النوع من التجسس؟

يشير التقرير إلى أن آلية الاتصال بـ"localhost" ممكنة تقنيًا على أجهزة آيفون، إذ يستطيع المطورون إنشاء قنوات اتصال مماثلة. ومع ذلك، لم يعثر الباحثون على دليل على أن ميتا أو ياندكس طبقت هذه الطريقة على iOS، وربما يعود ذلك إلى القيود المشددة التي يفرضها نظام تشغيل آبل على تشغيل التطبيقات في الخلفية.