PixelConfig: Longitudinal Measurement and Reverse-Engineering of Meta Pixel Configurations

Il paper presenta PixelConfig, un framework di analisi differenziale che, attraverso lo studio longitudinale di 18.000 siti web sanitari, rivela come le configurazioni predefinite del Meta Pixel consentano un tracciamento pervasivo di attività e identità degli utenti, inclusa la raccolta di dati sensibili, mentre le funzionalità di restrizione del tracciamento risultano spesso inefficaci o facilmente aggirabili.

L'essenziale

Immagina di entrare in un negozio di scarpe. Il commesso ti guarda, annuisce e poi, mentre esci, ti sussurra al telefono: "Ehi, quel cliente ha guardato le scarpe rosse, ha provato quelle blu e ha quasi comprato quelle verdi. Mandagli subito una pubblicità per quelle verdi!"

Questo è esattamente ciò che fanno i Pixel di Meta (il vecchio Facebook Pixel) sui siti web. Sono piccoli pezzi di codice invisibili, come "spie" o "telecamere nascoste", che i siti web installano per dire a Meta cosa stai facendo online.

Ma c'è un problema: non tutti i pixel sono uguali. Alcuni sono impostati per raccogliere solo informazioni generiche, altri sono configurati per essere molto invadenti e raccogliere dati sensibili, come la tua salute.

Gli autori di questo studio (Abdullah, Yash e Zubair) hanno creato un nuovo strumento chiamato PixelConfig. Per usare un'analogia, immagina che i pixel siano come ricette di cucina.

• La ricetta base è quella che Meta fornisce a tutti.
• Ma ogni sito web (il "cuoco") può decidere di aggiungere ingredienti extra (configurazioni) o toglierne alcuni.
• Il problema è che queste ricette sono scritte in un codice complicato e spesso nascosto.

Gli autori hanno usato PixelConfig come se fosse un detective che smonta le ricette. Hanno preso il codice del pixel, lo hanno "patchato" (modificato pezzo per pezzo) e hanno visto cosa cambiava nel messaggio che il pixel inviava a Meta. In questo modo, hanno capito esattamente quale impostazione faceva inviare quali dati.

Cosa hanno scoperto?

Hanno analizzato migliaia di siti web, concentrandosi su due gruppi:

1. Siti sanitari (ospedali, farmacie, medici): Dove si parla di cose molto private.
2. Siti popolari (notizie, shopping, tecnologia): Il gruppo di controllo.

Ecco le loro scoperte principali, spiegate in modo semplice:

1. La "Regola del Default" (Tutti fanno la stessa cosa)

La maggior parte dei siti web non cambia le impostazioni del pixel. Si affidano alle impostazioni predefinite di Meta.

• Analogia: È come se tutti i negozi di scarpe lasciassero il commesso parlare al telefono senza mai dirgli "shh, non dire tutto".
• Risultato: Fino al 98,4% dei siti ha attivato funzioni che tracciano automaticamente ogni tuo clic e ogni pagina che visiti. È come se il pixel fosse sempre "acceso" e "in ascolto" per impostazione predefinita.

2. L'Identità (Chi sei?)

I pixel non si limitano a vedere cosa fai, ma cercano di capire chi sei.

• Usano i "cookie di prima parte" (un tipo di identificativo che il sito lascia sul tuo computer, che i browser non possono bloccare facilmente come i cookie di terze parti).
• Risultato: Anche qui, quasi tutti i siti (98,4%) usano questa funzione. Meta sa chi sei e collega le tue azioni su un sito di salute al tuo profilo Facebook, anche se non hai fatto il login su Facebook in quel momento.

3. Il Pericolo sui Siti Sanitari

Qui la cosa si fa seria. I pixel sui siti medici stanno raccogliendo informazioni molto sensibili.

• Esempio concreto: Se vai su un sito di salute e clicchi su un pulsante che dice "Prenota visita per disfunzione erettile" o "Cerca informazioni sull'HIV", il pixel lo registra e lo invia a Meta.
• Risultato: Meta sa che hai cercato cure per problemi specifici. Questo è un dato che, per legge (come l'HIPAA negli USA), dovrebbe essere protetto, ma il pixel lo sta condividendo.

4. I "Freni" che non funzionano bene

Meta ha introdotto delle nuove regole chiamate Core Setup e Unwanted Data per limitare la raccolta di dati sensibili, specialmente dopo che le autorità hanno iniziato a fare domande.

• Analogia: È come se Meta avesse detto ai negozi: "Ok, d'ora in poi non dovete dire al telefono i nomi delle malattie dei clienti".
• Realtà:
  • Pochi siti hanno attivato questi freni (solo il 34% dei siti sanitari, contro l'8% degli altri).
  • Anche quando li attivano, spesso non funzionano. Alcuni siti continuano a inviare i dati sensibili in modo nascosto (ad esempio, inviando l'indirizzo completo della pagina invece di solo il nome del dominio, o usando codici criptati che Meta può comunque decifrare).
  • È come se il freno fosse installato, ma il camioncino continuasse a scivolare giù per la collina.

In sintesi

Questo studio ci dice che:

1. I pixel sono ovunque e sono configurati per raccogliere il massimo possibile di dati, spesso senza che i proprietari dei siti se ne rendano conto o lo vogliano attivamente (è tutto "predefinito").
2. I dati sulla salute sono a rischio. Anche se ci sono leggi per proteggerli, i pixel continuano a raccogliere informazioni su condizioni mediche sensibili.
3. Le protezioni sono fragili. Anche quando Meta introduce regole per fermare la raccolta di dati sensibili, l'implementazione è lenta, incompleta e spesso aggirabile.

In pratica, mentre pensiamo di navigare in sicurezza, le "spie" nei siti web stanno ancora scrivendo un diario dettagliato delle nostre vite, inclusi i nostri segreti più personali, e lo stanno inviando a un gigante della pubblicità.

Sommario tecnico

Ecco una sintesi tecnica dettagliata del paper "PixelConfig: Longitudinal Measurement and Reverse-Engineering of Meta Pixel Configurations" in italiano.

1. Il Problema

I pixel di tracciamento (tracking pixels) sono strumenti fondamentali per l'ottimizzazione delle campagne pubblicitarie online, permettendo il personalizzazione, il re-targeting e il tracciamento delle conversioni. Sebbene la ricerca precedente si sia concentrata ampiamente sulla prevalenza di questi pixel sul web, ha trascurato un aspetto cruciale: come vengono configurati.

Un singolo pixel (come il Meta Pixel) può essere installato su milioni di siti web, ma le sue capacità di tracciamento variano drasticamente in base alla configurazione. Le configurazioni possono includere:

• Tracciamento dell'attività: Cosa fa l'utente (clic, pagine visitate).
• Tracciamento dell'identità: Chi è l'utente o il dispositivo (cookie, dati PII).
• Restrizioni di tracciamento: Meccanismi per limitare la condivisione di dati sensibili.

La sfida tecnica risiede nel fatto che la documentazione pubblica è spesso vaga, l'accesso ai portali degli inserzionisti è limitato e l'analisi dinamica del traffico è incompleta. Inoltre, il codice sorgente dei pixel è spesso offuscato e minificato, rendendo difficile capire quali funzionalità siano attive senza un'analisi approfondita.

2. Metodologia: PixelConfig

Gli autori hanno sviluppato PixelConfig, un framework di reverse-engineering che combina approcci statici e dinamici per analizzare le configurazioni dei pixel Meta Pixel dal 2017 al 2024.

Il framework si basa su una analisi differenziale in due fasi principali:

1. Patching del Codice e Analisi del Traffico (Dinamica):

   • Gli ricercatori prendono lo script di configurazione di un pixel da un sito web reale.
   • Applicano "patch" (modifiche) al codice, rimuovendo o commentando righe specifiche relative a determinate configurazioni (es. disattivando AutomaticSetup).
   • Eseguitano lo script patchato nel browser (usando le funzionalità di override di Chrome DevTools) e confrontano il traffico di rete generato con quello originale inviato ai server di Meta (facebook.com).
   • Le differenze nel traffico (parametri rimossi o aggiunti) permettono di mappare esattamente quale parte del codice attiva quale funzionalità.

2. Analisi Comparativa con un Ambiente di Test (Controllo):

   • Gli autori creano un sito web di test, si registrano come sviluppatori su Meta e configurano manualmente diverse funzionalità nel Meta Business Manager.
   • Confrontano lo script di configurazione generato prima e dopo la modifica delle impostazioni.
   • Questo permette di validare le ipotesi formulate nella fase di patching e di comprendere come le impostazioni dell'interfaccia utente si traducano nel codice sorgente.

Dataset:

• Siti di Controllo: Top 10.000 siti web globali (Tranco).
• Siti Sanitari: 18.000 siti web sanitari statunitensi (derivati da American Hospital Association e CMS).
• Fonte Dati: Internet Archive's Wayback Machine, utilizzata per recuperare snapshot storici dei siti web e degli script di configurazione dei pixel dal 2017 al 2024.

3. Contributi Chiave

• Framework di Reverse-Engineering: Introduzione di PixelConfig, un metodo sistematico per decodificare le configurazioni dei pixel offuscati analizzando le differenze nel traffico di rete e nel codice.
• Mappatura delle Configurazioni: Creazione di una mappa dettagliata che collega le funzioni dello script di configurazione (es. instance.optIn, config.set) alle specifiche capacità di tracciamento (eventi automatici, cookie di prima parte, restrizioni).
• Analisi Longitudinale Sanitaria: Primo studio su larga scala che esamina l'evoluzione delle configurazioni dei pixel specificamente sui siti sanitari, un settore ad alto rischio per la privacy (soggetto a normative come HIPAA).

4. Risultati Principali

A. Tracciamento dell'Attività (Activity Tracking)

• Adozione Massiccia delle Impostazioni Predefinite: Le funzionalità di tracciamento automatico sono adottate fino al 98,4% dei siti.
  • Automatic Events: Il tracciamento automatico dei clic sui pulsanti (SubscribedButtonClick) e dei metadati della pagina (Microdata) è attivo quasi ovunque. Questo è guidato dalle impostazioni predefinite (default) di Meta.
  • Trend: L'uso di AutomaticSetup è diminuito nel 2023-2024, probabilmente sostituito o integrato in InferredEvents o disabilitato automaticamente da Meta sui siti sanitari sotto "Core Setup".
• Tracciamento di Dati Sensibili: Attraverso lo strumento Event Setup Tool, i siti sanitari tracciano interazioni specifiche e sensibili, come la prenotazione di appuntamenti medici o clic su pulsanti relativi a condizioni specifiche (es. "disfunzione erettile", "HIV", "salute mentale").

B. Tracciamento dell'Identità (Identity Tracking)

• Cookie di Prima Parte: L'adozione dei cookie di prima parte (_fbp, _fbc), che non sono bloccati dai browser come i cookie di terze parti, raggiunge il 98,4%. Questo è guidato da un'impostazione predefinita ("Bad Default") e da pattern di design scuri (dark patterns) che rendono difficile disattivarli.
• Advanced Matching (AAM): Sebbene non sia attivo di default, l'AAM (che invia hash di email, telefono, ecc.) è stato adottato da una percentuale significativa di siti. Tuttavia, si nota un calo nell'adozione sui siti sanitari a partire dal 2023, probabilmente in risposta alle azioni di enforcement delle autorità (FTC e HHS).

C. Restrizioni di Tracciamento (Tracking Restrictions)

• Adozione Limitata: Le funzionalità di restrizione, come le chiavi "blacklisted" e "sensitive" (per bloccare parametri URL specifici) e il Core Setup (introdotta nel 2023/2024), hanno un'adozione bassa.
  • Solo il 34,3% dei siti sanitari e l'8,7% dei siti di controllo utilizzano il Core Setup.
• Efficacia Limitata: Anche quando attivate, queste restrizioni sono spesso inefficaci o aggirabili.
  • Alcuni siti sanitari continuano a inviare parametri sensibili (es. termini di ricerca medici) nonostante il Core Setup.
  • In alcuni casi, i siti aggirano le restrizioni inviando l'hash SHA-256 dell'URL completo invece dell'URL stesso, rendendo i dati ancora tracciabili da Meta.

5. Significato e Implicazioni

• Responsabilità delle Impostazioni Predefinite: Lo studio dimostra che la maggior parte del tracciamento invasivo non è una scelta attiva degli inserzionisti, ma il risultato di impostazioni predefinite (default) e di interfacce utente progettate per spingere verso opzioni meno protettive della privacy (dark patterns).
• Rischi per la Privacy Sanitaria: Nonostante le normative come l'HIPAA e le azioni legali recenti (avvisi FTC/HHS), i pixel continuano a raccogliere dati sanitari sensibili. Le restrizioni introdotte da Meta sono spesso incomplete o aggirabili, lasciando i pazienti esposti.
• Metodologia per la Ricerca Futura: PixelConfig offre un modello per analizzare non solo la presenza, ma la configurazione di qualsiasi sistema di tracciamento, permettendo di comprendere meglio l'impatto reale delle tecnologie di sorveglianza online.

In sintesi, il paper rivela che il tracciamento dei dati sensibili sui siti sanitari è pervasivo e guidato da default tecnici, e che le misure di protezione attualmente disponibili sono spesso insufficienti o mal configurate, richiedendo un'azione normativa più rigorosa e una maggiore trasparenza da parte delle piattaforme pubblicitarie.