Teknik pelacakan web-aplikasi diam-diam di Android menggunakan localhost terungkap

 (localmess.github.io)
21 poin oleh GN⁺ 2025-06-04 | 11 komentar | Bagikan ke WhatsApp
  • Terungkap bahwa aplikasi besar seperti Meta (Facebook) dan Yandex di Android menggunakan port lokal (127.0.0.1) untuk secara diam-diam berbagi pengenal dan cookie antara browser web dan aplikasi native
  • Skrip Facebook Pixel dan Yandex Metrica yang ditanam di situs web langsung mengirim sesi penjelajahan dan pengenal dari browser Android ke aplikasi native (Facebook, Instagram, dan aplikasi keluarga Yandex), sehingga memungkinkan identifikasi pengguna dan de-anonimisasi
  • Metode ini melewati seluruh perlindungan privasi yang ada seperti penghapusan cookie, mode penyamaran, pengaturan izin, dan reset Advertising ID, dan jika aplikasi berbahaya cukup mendengarkan port yang sesuai, maka riwayat kunjungan browser juga dapat dikumpulkan
  • Setelah dipublikasikan pada 3 Juni 2025, pihak Facebook menghapus sebagian besar kode terkait, namun teknik tersebut telah digunakan selama bertahun-tahun pada ratusan juta perangkat Android di seluruh dunia. Yandex terus menggunakan metode serupa sejak 2017
  • Browser utama seperti Chrome, Firefox, dan Brave telah menerapkan pemblokiran darurat, tetapi karena keterbatasan struktural platform, belum ada solusi mendasar yang sepenuhnya memadai, sehingga kebutuhan untuk memperkuat keamanan Android IPC dan jaringan lokal semakin ditekankan

Disclosure: Teknik pelacakan web-aplikasi diam-diam melalui localhost

  • Para peneliti menemukan bahwa Meta dan Yandex menargetkan miliaran pengguna Android, dengan aplikasi native membuka port lokal tertentu (mis. 12580~12585, 29009~30103) di latar belakang lalu berkomunikasi dengan JavaScript yang berjalan di web
  • Melalui cara ini, cookie, metadata, dan riwayat penggunaan dari browser web dikirim ke aplikasi native, lalu digabungkan dengan informasi akun aplikasi dan Android Advertising ID untuk mengaitkan identitas pengguna dengan kunjungan web

How does this work?

Penyalahgunaan port lokal di Android

  • Di Android OS, semua aplikasi yang memiliki izin INTERNET dapat membuka socket pada 127.0.0.1 (loopback)
  • Browser juga dapat mengakses antarmuka ini tanpa persetujuan pengguna terpisah
  • JavaScript yang ditanam di situs web dapat mengirim dan menerima data antara browser dan aplikasi native menggunakan Web API standar

Cara kerja integrasi web-aplikasi Meta/Facebook Pixel

  • Saat JavaScript Meta Pixel dimuat di browser Android, nilai cookie _fbp dikirim ke aplikasi native melalui paket STUN WebRTC (UDP port 12580–12585)
  • Aplikasi Facebook dan Instagram di perangkat (bergantung versi, seperti 515.0.0.23.90/382.0.0.43.84) menunggu pada port tersebut, menerima nilai _fbp dari browser, lalu mengirimkannya ke server mereka sendiri melalui GraphQL
  • _fbp adalah cookie utama yang ditanam pada sekitar 25% dari satu juta situs teratas; sebelumnya cookie ini terpisah per situs sehingga pelacakan lintas situs sulit dilakukan, tetapi dengan metode ini banyak nilai _fbp milik pengguna dapat dicocokkan ke satu akun
  • Setelah Mei 2025, metode WebRTC TURN juga ditambahkan, dan skrip diubah agar menghindari teknik SDP Munging
  • Cookie _fbp bertahan selama 90 hari dan sangat umum digunakan, hingga pada 25% situs web teratas
  • Setelah browser utama seperti Chrome merespons, kode tersebut dihapus pada 3 Juni

Cara kerja integrasi web-aplikasi Yandex Metrica

  • Skrip Yandex Metrica sejak 2017 mengirim permintaan melalui HTTP(S) ke port lokal (29009, 29010, 30102, 30103, dll.)
  • Aplikasi Yandex (Yandex Maps, Navigator, Browser, Search, dll.) membuka port tersebut dan merespons permintaan yang diterima dengan data berisi Android Advertising ID (AAID) yang dikodekan Base64 serta pengenal perangkat lain dan UUID
  • Skrip browser mengumpulkan informasi ini lalu mengirimkannya kembali ke server Yandex, sehingga keterkaitan pengenal antara browser-aplikasi-server pun selesai dibentuk
  • Domain yandexmetrica.com di-resolve ke 127.0.0.1 untuk menghindari deteksi dan menyamarkan alur pengumpulan
  • Karena menggunakan HTTP localhost, jika aplikasi lain mendengarkan pada port yang sama, ada risiko riwayat kunjungan situs pengguna ikut terekspos

Risiko nyata: kebocoran riwayat kunjungan browser

  • Jika menggunakan komunikasi lokal berbasis HTTP, aplikasi Android apa pun dapat memperoleh URL kunjungan browser dan riwayat lain selama hanya mendengarkan port tersebut
  • Peneliti benar-benar membuat aplikasi Proof-of-Concept dan mengujinya di Chrome, Firefox, dan Edge, lalu membuktikan bahwa private browsing dan mode incognito juga sama-sama rentan
  • Hanya beberapa browser seperti Brave dan DuckDuckGo yang terlindungi melalui blocklist internal dan permintaan persetujuan pengguna

Affected Sites

  • Meta Pixel: digunakan di 5,8 juta situs web; dari hasil crawling aktual, pembagian ID lokal diamati pada 15 ribu situs di EU dan 17 ribu situs di AS dari 100 ribu situs teratas
  • Yandex Metrica: digunakan di 3 juta situs web; dengan metode yang sama, komunikasi port lokal terkonfirmasi pada 1.260 situs di EU dan 1.312 situs di AS
  • Banyak di antara situs ini menjalankan pelacakan otomatis bahkan tanpa prosedur persetujuan cookie

History

  • Yandex: mulai menggunakan port HTTP/HTTPS sejak 2017
  • Meta: HTTP pada September 2024, WebSocket pada November 2024, WebRTC STUN pada 2025, lalu beralih bertahap ke TURN pada Mei

Abuse Vectors

  • Penyebab utama adalah tidak adanya pembatasan akses ke socket localhost di Android serta lemahnya kebijakan sandbox
  • Seluruh perlindungan yang ada seperti pengaturan izin, mode incognito browser, dan reset Advertising ID dapat dilewati
  • Sulit dibedakan dari penggunaan sah untuk pengembangan web, tetapi kasus ini menjadi bukti nyata pelacakan skala besar
  • Browser seperti Chrome, Firefox, DuckDuckGo, dan Brave sedang menyiapkan patch darurat, tetapi pada dasarnya penguatan izin dan peringatan tingkat platform, sandbox, serta kebijakan IPC diperlukan

Disclosure

  • Permintaan responsible disclosure dan kerja sama telah disampaikan kepada vendor browser seperti Chrome, Firefox, DuckDuckGo, dan Brave
  • Chrome (versi 137), Firefox (versi 138), Brave, dll. telah menerapkan langkah jangka pendek seperti pemblokiran port rentan dan pemblokiran SDP Munging
  • Dalam jangka panjang, ditekankan perlunya perbaikan struktural seperti kontrol akses jaringan lokal, penguatan sandbox, dan panduan bagi pengguna
Browser Versi Yandex Facebook Status respons/pemblokiran
Chrome 136.0+ Terdampak Terdampak Sejak 137 memblokir port dan SDP munging, sedang diterapkan bertahap
Edge 136.0+ Terdampak Terdampak Tidak jelas (berbasis Chromium)
Firefox 138.0.2 Terdampak Tidak terdampak(1) Pemblokiran SDP munging, UDP akan diblokir kemudian
DuckDuckGo 5.233.0 Terdampak sebagian(2,3) Tidak terdampak(2,3) Pemblokiran berbasis blocklist
Brave 1.78.102 Tidak terdampak(3,4) Tidak terdampak(3,4) Sejak 2022 meminta persetujuan pengguna untuk permintaan localhost, blocklist diterapkan
  • 1: SDP Munging diblokir, port TURN masih belum diblokir (akan diterapkan nanti)
  • 2,3,4: Beragam pertahanan seperti blocklist, pemblokiran port, dan persetujuan pengguna

Tingkat kesadaran pengguna dan operator

Operator situs

  • Metode ini tidak pernah dipublikasikan dalam dokumentasi resmi Meta maupun Yandex
  • Sejak September 2024, forum pengembang Facebook dan lainnya terus menerima pertanyaan seperti "mengapa skrip Pixel mengakses localhost", tetapi tidak ada jawaban resmi
  • Sebagian besar operator situs dan pengguna akhir tidak menyadarinya. Pelacakan tetap dimungkinkan bahkan ketika pengguna tidak sedang login, memakai mode incognito, atau telah menghapus cookie

Pengguna umum

  • Pelacakan berjalan terlepas dari status login
  • Mode incognito, penghapusan cookie, dan perlindungan lain tidak efektif
  • Banyak kasus di mana metode ini tetap berfungsi bahkan di situs tanpa prosedur persetujuan cookie

Ringkasan FAQ

  • Q: Mengapa Meta menghentikan metode ini segera setelah dipublikasikan?
    A: Tidak ada jawaban resmi, tetapi setelah publikasi dikonfirmasi bahwa pengiriman paket ke pengguna Android dihentikan
  • Q: Apakah penelitian ini sudah melalui peer review?
    A: Sudah diverifikasi oleh beberapa lembaga, tetapi sebelum peninjauan makalah; karena skala penyalahgunaannya, diputuskan untuk segera dipublikasikan
  • Q: Apakah metode ini dijelaskan dalam dokumen resmi Meta/Yandex?
    A: Tidak ada dokumentasi teknis resmi, hanya pertanyaan di forum pengembang
  • Q: Apakah iOS/platform lain juga terdampak?
    A: Sejauh ini baru terkonfirmasi di Android, tetapi secara teknis iOS/desktop/smart TV dan lainnya juga berpotensi berisiko

Bacaan terkait

11 komentar

 
dhy0613 2025-06-05

Aneh, baterainya memang jadi boros sekali, jadi dulu saya sempat menghapus semua aplikasi dari pihak Meta, ternyata memang ada kejadian seperti ini... Sepertinya saya juga harus menghapus semua aplikasi sistem bawaan yang tersisa di Galaxy lewat adb.
 
savvykang 2025-06-05

Saya juga tidak bisa percaya aplikasi Meta, jadi saya tidak memakainya dan sebagai gantinya hanya menggunakannya lewat Chrome di Folder Aman.
 
iolothebard 2025-06-05

Framework yang disebut aplikasi web hibrida umumnya menjalankan web server localhost (meski tujuannya berbeda). Hal-hal yang tidak bisa diselesaikan lewat pengaturan library browser bawaan (WebKit...) atau kustomisasi (bagian web), ditangani dari sisi web server yang dijalankan di localhost (bagian native). Ternyata ini juga bisa dimanfaatkan seperti ini... sayang sekali.
 
jeiea 2025-06-05

Menurut saya, cara komunikasi web/aplikasi yang umum di aplikasi hibrida adalah melalui API yang disediakan di sisi OS dan browser, yang juga disebut bridge. Menurut saya server web lokal bukan hal yang wajib.
Alasan penggunaan server web lokal di sana jadi masalah, misalnya, karena bisa memungkinkan kerentanan seperti mengakses port localhost dari Chrome mode penyamaran untuk merusak anonimitas pengguna. Kalau teknik seperti ini memang wajib di aplikasi hibrida.. ya aplikasi hibrida harus hilang.
 
nemorize 2025-06-06

Sudah umum untuk membuka dan menggunakan server web di dalam aplikasi guna menangani fitur-fitur yang mewajibkan nama domain, localStorage, dan sebagainya.
 
ethanhur 2025-06-04

Kalau tidak membayar untuk sebuah layanan, berarti saya sendiri adalah produknya. Upaya untuk melacak individu lewat data akan makin banyak, dan tampaknya tidak ada cara untuk membalikkan arus ini. Kita butuh alternatif yang lebih baik, tetapi di bawah kapitalisme saya tidak begitu bisa membayangkan apa alternatif yang lebih baik itu.
 
savvykang 2025-06-04

Saya penasaran apakah akses localhost dari dalam dan luar Secure Folder Galaxy benar-benar terisolasi.
 
savvykang 2025-06-04

Ternyata tidak terisolasi. Dari luar Folder Aman saya menjalankan python http.server lewat Termux, lalu mengaksesnya dari dalam dengan Chrome, dan ternyata bisa terhubung.
 
forgotdonkey456 2025-06-05

Bukankah ini celah keamanan -_-??
 
jjpark78 2025-06-04

Sepertinya memang jawaban yang tepat adalah tidak memakai SNS..
 
GN⁺ 2025-06-04
Komentar Hacker News

  • Jika saya merangkum alur pelacakan menyeluruh yang digunakan Meta sebagaimana saya memahaminya, dengan merujuk pada blog Localmess

    1. Saat pengguna sedang login ke aplikasi Facebook atau Instagram, aplikasi tersebut menerima trafik yang masuk ke port tertentu di latar belakang
    2. Saat pengguna mengunjungi situs web (mis. something-embarassing.com) melalui browser ponsel, sering kali situs tersebut menyisipkan Meta Pixel (menurut artikel, terpasang di lebih dari 5,8 juta situs web)
      Bahkan dalam mode penyamaran pun pelacakan tetap dimungkinkan
    3. Bergantung pada lokasi, situs web mungkin meminta persetujuan pengguna; artikel tidak menjelaskannya secara rinci, tetapi kemungkinan yang dimaksud adalah 'banner cookie' yang sering disetujui begitu saja oleh banyak orang
    4. Skrip Meta Pixel mengirim cookie _fbp (yang berisi informasi penelusuran) ke aplikasi Instagram atau Facebook menggunakan teknik WebRTC (STUN) SDP Munging
      Bagian proses ini juga tidak terlihat di alat pengembang browser
    5. Jika pengguna sudah dalam keadaan login di aplikasi, Meta dapat mengaitkan aktivitas browser yang "anonim" dengan informasi pengguna yang sedang login
      Aplikasi tersebut mengirim informasi _fbp dan ID pengguna ke server Meta
      Hal tambahan yang patut diperhatikan,

    • Metode berbagi ID dari web ke aplikasi ini melewati perlindungan privasi umum seperti penghapusan cookie, mode penyamaran, dan kontrol izin Android

    • Bahkan membuka kemungkinan aplikasi berbahaya mengintip aktivitas web pengguna

    • Sejak pertengahan Mei, skrip Meta Pixel juga mulai mengirim cookie _fbp dengan metode WebRTC TURN, dan metode ini diperkenalkan setelah tim Chrome memblokir SDP Munging

    • Per 2 Juni 2025, belum teramati adanya perilaku aplikasi Facebook/Instagram yang benar-benar menerima data melalui port baru tersebut

    • Jika penggunaan utama WebRTC adalah untuk mengambil informasi seperti IP lokal pengguna lalu menganonimkan balik identitasnya, saya tidak paham kenapa fitur seperti ini bisa berjalan tanpa permintaan izin terpisah

    • Di beberapa negara, mengunjungi situs seperti something-embarassing.com bisa berakibat jauh lebih serius daripada sekadar memalukan

    • Saya belum sepenuhnya paham, tetapi saya penasaran apakah ini juga mencakup penyalahgunaan pemberitahuan persetujuan cookie GDPR yang wajib untuk melacak orang secara diam-diam

  • Saya ingin iklan dan pelacakan internet dilarang saja
    Hal-hal seperti ini membuat terlalu banyak hal tak berguna membanjiri internet
    Menurut saya semua ini terjadi karena para CEO ingin membeli satu kapal pesiar lagi

    • Reddit juga melakukan banyak pengambilan sidik jari perangkat
      Data itu juga dijual untuk pelatihan model AI
      Saya menduga sebentar lagi akan datang masanya mereka mulai agresif menjual data privat yang hanya bisa diakses dari aplikasi premium

    • Pertanyaannya tetap bagaimana ini bisa dilarang, dan bagaimana membuktikan secara hukum bahwa seseorang melanggar aturan itu

    • Gerakan untuk menyingkirkan cookie pihak ketiga dari browser sebenarnya adalah langkah pertama yang paling realistis
      Tetapi Google menggunakan dominasinya atas Chrome untuk menggagalkannya tahun lalu
      Mungkin tidak melanggar hukum, tetapi itu manipulasi pasar yang tidak etis dan seharusnya memicu kemarahan konsumen
      Para eksekutif Google tampaknya awalnya percaya mereka bisa tetap menghasilkan uang tanpa cookie, padahal bisa jadi mereka sama sekali tidak memahami arti cookie, atau memang sejak awal tidak berniat menghapusnya

    • Bentuk perilaku seperti ini murni keserakahan
      Para pengelola bisnis tradisional yang sukses selama berabad-abad menjauhi obsesi berlebihan terhadap keuntungan diri sendiri seperti ini
      Biasanya pemimpin yang cukup baik pun bisa melampaui perilaku rendah seperti ini dan memimpin perusahaan dengan lebih baik
      Tetapi di dunia yang hanya menyisakan keserakahan, kita rasanya cuma bisa menertawakannya
      Andai ada CEO yang lebih jujur sekaligus lebih cakap, itu akan sangat baik

    • Menambahkan pada lelucon 'kapal pesiar CEO', kenyataannya kebanyakan konsumen memilih model iklan karena mereka menyukai layanan/produk yang tidak perlu dibayar
      Dalam praktiknya, jika ada versi berbayar dan versi dengan iklan, yang didukung iklan biasanya lebih populer dengan rasio 10:1
      Pemblokiran iklan justru memperburuk keadaan — bentuk perlawanan yang sebenarnya adalah memboikot layanan atau membayar langsung alternatifnya
      Saya justru menganggap struktur seperti BAT (Brave Attention Token), yang menyalurkan pembayaran mikro langsung ke situs, lebih masuk akal
      Teorinya adalah: saya membayar sesuai yang saya gunakan, dan saya menjadi pelanggan sungguhan, bukan pengiklan

  • Laporan isu aslinya: blog Localmess
    Google mengatakan sedang menyelidiki kasus penyalahgunaan, tetapi ironisnya Google sendiri juga melacak semua orang menggunakan berbagai side channel seperti nama Wi‑Fi AP
    Perusahaan aplikasi besar terus mengumpulkan data dengan cara serupa untuk menghindari pembatasan OS

  • Alasan lainnya: jangan memasang aplikasi Big Tech jika memungkinkan, dan gunakan situs web hanya saat benar-benar perlu
    Situs web memang lebih lambat dan kurang nyaman, tetapi karena berada dalam sandbox, jauh lebih aman

    • Tidak jelas aplikasi Meta mana yang membuka port itu
      Misalnya, ponsel Samsung hadir dengan beberapa aplikasi Meta bawaan, dan meskipun aplikasi Facebook dihapus, layanan tersembunyi seperti com.facebook.services kadang tetap ada
      Layanan-layanan ini hanya bisa dihapus dengan alat pengembang (ADB/UAD)
      Atau pilih iPhone atau ponsel Pixel

  • Informasi teknis terkait skrip Meta Pixel:
    Hingga Oktober 2024, Meta Pixel mengirim lewat HTTP, dan aplikasi Facebook/Instagram masih menunggu di port tersebut sampai sekarang
    Mereka juga menunggu di port baru 12388, tetapi skrip yang mengirim ke port itu belum ditemukan
    Karena itu, ada rasa penasaran yang sangat ilmiah(?) tentang apakah aplikasi lain juga bisa mengirim pesan palsu ke port ini

    • Menurut saya ada dua cara untuk mengacaukan pelacak seperti ini
      Satu adalah tidak mengirim apa pun, dan yang lain adalah mengirim banyak data palsu
      Akan menarik kalau ada perangkat yang membagikan cookie pelacakan pengiklan secara P2P

  • Saya penasaran apakah pelacakan ini bisa menyeberang antarprofil
    Jika iya, dari sudut pandang perusahaan ini masalah keamanan yang sangat besar
    Saya menguji dengan menjalankan server di port 8080 dari aplikasi userland, dan hasilnya bisa diakses dari kedua profil
    Artinya aplikasi yang terinfeksi di satu profil bisa bertukar data dengan situs yang diakses dari profil lain

    • Namun, pertanyaannya apakah ini hanya mungkin jika situs tersebut secara eksplisit berkomunikasi dengan layanan yang terikat ke port lokal (tanpa autentikasi)

  • Saya penasaran apakah jika seseorang mengumpulkan informasi dari komputer orang lain dengan cara seperti ini, ia bisa dihukum berdasarkan CFAA (Computer Fraud and Abuse Act)

    • Metode ini membutuhkan kendali atas kode di kedua sisi: satu pihak (situs yang dikunjungi) dan pihak lain (aplikasi yang berjalan di ponsel)
      Ini bukan teknik peretasan ajaib untuk mencuri riwayat browser sembarangan
      Jadi sulit menyebutnya sebagai peretasan secara jelas, dan walaupun Google/Meta melakukan pelacakan tanpa persetujuan, hal itu tampaknya tidak termasuk CFAA

    • Faktanya, ada orang yang pernah dituntut dengan CFAA hanya karena melakukan 'lihat sumber halaman' di browser
      Tampaknya yang lebih penting bukan tindakan kriminalnya sendiri, melainkan siapa yang disentuh serta relasi dengan jaringannya

    • Ada kemungkinan bisa dihukum

  • Sistem ID ini terlalu mudah disalahgunakan, dan saya menduga Google juga menyadari hal itu serta tahu bahwa aturan pencegahan penyalahgunaan harus dibuat
    Ini bisa berujung pada penalti seperti banned permanen dari Play Store, tindakan hukum, bahkan tuntutan pidana
    Tetapi secara realistis, bila perusahaannya sebesar Meta, penegakan nyata hampir mustahil
    (Dan bahkan jika bukan Meta, bisa saja gerakan mencurigakan seperti ini secara diam-diam disetujui badan intelijen atau penegak hukum — sangat sulit menghentikan masalah seperti ini, bahkan untuk membicarakannya pun tidak mudah)

    • Google dan Apple memiliki seluruh sistem operasi
      Mereka punya lebih dari 50 cara sendiri untuk melacak
      Perusahaan lain juga menghasilkan banyak uang sambil menegosiasikan ulang klausul berbagi data pengguna dengan perusahaan besar
      Kesepakatannya sudah dibuat dan izinnya sudah diberikan, hanya saja sebagian pengguna ribut soal ini

  • Di Firefox, WebRTC bisa diblokir dengan mengubah opsi media.peerconnection.enabled menjadi false di about:config
    Menggabungkan Netguard dan Nebulo dalam mode non-VPN dapat membantu memblokir koneksi yang tidak perlu ke server Meta

  • Saya pikir Uni Eropa (EU) harus menjatuhkan denda pada tingkat yang memecahkan rekor untuk masalah seperti ini
    Akan bagus juga jika ada pajak progresif yang naik 1~X% setiap kali pelanggaran berulang
    Rasanya juga perlu dibuat situs web yang memperlihatkan riwayat pelanggaran tiap perusahaan secara sekilas

    • Meta tetap membukukan laba bersih sekitar 70 miliar dolar AS per tahun meskipun membayar denda setiap tahun

    • Bukan hanya denda; dalam beberapa kasus, individu juga pernah dipenjara untuk pelanggaran yang jauh lebih ringan, jadi tindakan yang lebih keras juga diperlukan