Sisällysluettelo
Kesäkuussa 2025 tutkijaryhmä paljasti jotakin, joka ei ollut vain uusi seurannan muoto vaan periaatteellinen rajanylitys. Meta ja Yandex olivat hyödyntäneet Androidin ja selainten välisiä teknisiä erityispiirteitä tavalla, joka muistutti toimintalogiikaltaan haittaohjelmaa: ne rikkoivat sovellusten ja selaimen välisen eristyksen ja yhdistivät ihmisten verkkoselaamisen heidän kirjautuneisiin käyttäjätileihinsä, kun yhtiöiden sovellukset pyörivät taustalla samassa laitteessa. Tutkijoiden mukaan Yandex oli tehnyt tätä jo vuodesta 2017, Meta syyskuusta 2024 alkaen.
Tapaus on pysäyttävä kahdesta syystä. Ensiksi se osoittaa, kuinka vähän suurimmat teknologiayhtiöt näyttävät pelkäävän yksityisyysriskejä, mainehaittaa tai sääntelyä silloin, kun lisädata on saatavilla. Toiseksi se paljastaa jotakin vielä perustavampaa: valvontamainonta ei ole väärinkäytöksistä ajoittain tahriintuva järjestelmä, vaan järjestelmä, joka synnyttää jatkuvasti kannusteen etsiä uusia, yhä aggressiivisempia tapoja kerätä tietoa ihmisistä. Kun liiketoimintamalli perustuu siihen, että käyttäjästä tiedetään mahdollisimman paljon, seuraava tekninen rajanylitys ei ole onnettomuus vaan lähes väistämätön kehityssuunta.
Mitä localhost-hyökkäys oikeastaan teki
Tätä niin sanottua localhost-hyökkäystä ei voi ymmärtää pelkästään sanomalla, että “yhtiöt seurasivat käyttäjiä”. Verkossa seuranta on jo arkipäivää. Olennaista on, että tässä tapauksessa seuranta murtautui kahden normaalisti toisistaan erotetun maailman väliin: selaimen ja laitteeseen asennetun sovelluksen. Androidissa ja mobiiliselaimissa on tarkoituksella suojauksia, joiden tehtävä on estää sitä, että verkkosivu pääsisi suoraan vaihtamaan arkaluonteista tietoa laitteen muihin sovelluksiin. Tutkijoiden kuvaama menetelmä kiersi juuri tämän perusperiaatteen.
Yksinkertaistettuna mekanismi toimi näin: käyttäjä avasi verkkosivun, jolla oli mukana Meta Pixel tai Yandex Metrica -seurantakoodi. Tämä koodi ei tyytynyt keräämään tavallista selaindataa, vaan pyrki välittämään tietoa laitteen omille sovelluksille localhost-yhteyden kautta. Kun samaan aikaan Facebook-, Instagram- tai Yandex-sovellus oli käynnissä taustalla, selainpuolella syntynyt tieto voitiin yhdistää sovelluksen hallussa olevaan pysyvään tunnisteeseen tai suoraan käyttäjätiliin. Käytännössä selaushistoria, jota oli tähän asti käsitelty ainakin jossakin määrin erillisenä, sidottiin henkilön tunnettuun identiteettiin. Tutkijoiden mukaan tämä rikkoi pseudonymisoinnin ja mahdollisti uudelleentunnistamisen.
Tässä kohdassa tekninen yksityiskohta muuttuu poliittiseksi. Valvontamainonnan koko puolustus rakentuu usein sille ajatukselle, että kaikkea dataa ei aina sidota suoraan nimeen ja henkilöllisyyteen. Käytetään tunnisteita, pikseleitä, evästeitä ja profiileja, ja annetaan ymmärtää, että kyse on lähinnä tilastollisesta kohdentamisesta. Localhost-menetelmä osoitti, kuinka heikko tämä raja todellisuudessa on. Jos tekninen mahdollisuus rakentaa silta pseudonyymin verkkoseurannan ja oikean käyttäjätilin välille on olemassa, sitä myös käytetään.
Miksi tapaus muistutti haittaohjelmaa
Tässä paljastuksessa kaikkein huolestuttavin piirre ei ollut vain se, että selausdataa ja sovellusdataa yhdistettiin. Huolestuttavinta oli tapa, jolla tämä tehtiin. Menetelmä nojasi siihen, että sovellukset kuuntelivat paikallisia portteja laitteen sisällä, ja verkkosivujen seurantascriptit lähettivät niihin tietoa tavalla, jota käyttäjä ei voinut nähdä eikä kohtuudella odottaa. Tämä oli toimintamalli, joka ei ollut rakennettu käyttäjän hyväksi eikä edes avoimesti mainostajan käyttöön, vaan dataa vuotavaksi kiertotieksi. Tutkijat huomauttivat myös, että tällainen hyökkäystapa ei ollut vaarallinen vain siksi, että Meta tai Yandex hyödynsivät sitä, vaan siksi että periaatteessa mikä tahansa muu sovellus olisi voinut yrittää kaapata saman datavirran. Tutkimuksessa osoitettiin tämä erityisesti Yandexin osalta erikseen rakennetulla sovelluksella.
Siksi tämä ei ollut vain aggressiivista analytiikkaa. Se oli hyökkäys turvallisuusarkkitehtuuria vastaan. Sovelluseristys eli sandboxing on yksi nykyaikaisen mobiilikäyttöjärjestelmän keskeisistä suojaperiaatteista. Jos suuri yhtiö alkaa käsitellä tätä periaatetta esteenä liiketoiminnalleen, se kertoo paljon enemmän kuin yksittäinen tietosuojarikkomus. Se kertoo asenteesta, jossa käyttäjän suoja ei ole raja vaan hidaste.
Kuinka laaja ilmiö oli
Tapaus ei koskenut pientä joukkoa erikoiskäyttäjiä. Tutkijoiden arvion mukaan Meta Pixel oli asennettuna noin 5,8 miljoonalle verkkosivulle ja Yandex Metrica noin 3 miljoonalle. Tämä tekee ilmiöstä poikkeuksellisen laajan. Kyse ei ollut siitä, että joku epäonninen käyttäjä olisi sattunut avaamaan yhden ongelmallisen sivun, vaan siitä, että verkon perusrakenteisiin upotettuja seurantatyökaluja käytettiin miljoonien sivujen mittakaavassa yhdistämään selauskäyttäytymistä sovellusidentiteetteihin.
Tässä kohtaa on syytä pysähtyä miettimään mittakaavan merkitystä. Kun yksittäinen väärinkäytös tapahtuu miljoonissa selaushetkissä, se ei ole enää poikkeama vaan teollista tiedonkeruuta. Se on digitaalinen infrastruktuuri, jonka tarkoituksena ei ole palvella käyttäjää vaan tehdä hänestä läpinäkyvä. Ja mitä läpinäkyvämmäksi käyttäjä tehdään, sitä arvokkaampi hänestä tulee mainosjärjestelmän raaka-aineena.
Meta lopetti – mutta ei pyytänyt anteeksi
Meta poisti tutkimuksen julkaisupäivänä koodin, joka mahdollisti tämän seurannan. Se ei kuitenkaan esittänyt varsinaista selitystä eikä anteeksipyyntöä, vaan tyytyi viittaamaan keskusteluun Googlen kanssa mahdollisesta “väärinymmärryksestä” Play Storen käytäntöjen soveltamisesta. Tämä sanavalinta on kuvaava. Kun yhtiö jää kiinni sellaisesta käytännöstä, joka on rakennettu nimenomaan kiertämään käyttäjän odottamia yksityisyys- ja turvallisuusrajoja, ei puhuta vahingosta eikä väärinkäsityksestä. Puhutaan tietoisesta teknisestä ratkaisusta, jonka ainoa tarkoitus oli saada lisää dataa.
Yandexin osalta kuva on yhtä synkkä, ellei synkempi. Yhtiön analytiikkatuotteiden tunkeilevuudesta on ollut viitteitä jo aiemmin. Vuonna 2023 vuotanut koodikanta osoitti, kuinka laajasti yhtiö yhdisteli eri palveluistaan kerättyä tietoa kotitalousprofiileiksi ja kiinnostuksen kohteiden ennustamiseksi. Mukana oli tietoja, jotka ylittivät monen käyttäjän kohtuulliset odotukset, kuten lähellä olevat wifi-tukiasemat, tarkka sijainti ja matkanopeus. Tämä tausta tekee localhost-paljastuksesta vähemmän yllätyksen ja enemmän jatkumon.
Tämä ei ole yksittäistapaus vaan oire
Jos tätä tapausta tarkastellaan vain Metaa tai Yandexia koskevana skandaalina, siitä jää näkemättä tärkein. Ongelman ydin ei ole vain kahdessa yrityksessä, vaan koko verkkomainonnan rakenteessa. Yhdysvaltain liittovaltion kauppakomission vuoden 2024 raportti kuvasi sosiaalisen median ja videopalvelujen yrityksiä suoraan massiivisen kaupallisen valvonnan infrastruktuurin rakentajiksi. Raportin mukaan yrityksillä on ainutlaatuinen pääsy ihmisten mieltymyksiin, ihmissuhteisiin, uskonnolliseen vakaumukseen, terveydentilaan ja käyttäytymisen eri puoliin useilla laitteilla ja jatkuvasti – usein tavoilla, joita käyttäjät eivät odota.
Tämä on tärkeää, koska localhost-hyökkäys ei syntynyt tyhjiössä. Se syntyi ekosysteemissä, jossa jo valmiiksi käytetään tummia käyttöliittymäratkaisuja, suostumusta manipuloivia evästebannereita, domain-kätkentää kolmannen osapuolen seurannan peittämiseksi, yksityisyyttä rikkovia oletusasetuksia ja lukemattomia muita tapoja venyttää käyttäjän tiedostavaa suostumusta. Kun tällainen kulttuuri yhdistyy valtaviin taloudellisiin kannustimiin, on pikemminkin odotettavaa kuin poikkeuksellista, että joku yrittää seuraavaksi rikkoa myös teknisiä perussuojia.
Suomen Kansa on aiemmissa tarkasteluissaan tuonut esiin saman ilmiön mielenterveysaiheisilla verkkosivuilla. Kun tällaisista erityisen arkaluonteisista ympäristöistä löytyi runsaasti kolmannen osapuolen seurantaa markkinointitarkoituksiin, kävi jälleen näkyväksi, ettei mainosjärjestelmä tunne sellaista luonnollista rajaa, jonka kohdalla se sanoisi: tänne emme mene. Jos verkkosivut, joilla ihminen etsii tietoa ahdistuksesta, masennuksesta tai kriisistä, kelpaavat valvontamainonnan raaka-aineeksi, ei ole syytä ihmetellä, että myös mobiililaitteen teknisiä suojarajoja ryhdytään koettelemaan. Valvontamainonnan logiikka on aina sama: lisää dataa, tarkempaa profilointia, vahvempaa uudelleentunnistamista. Suomen Kansa on aiemmissa tarkasteluissaan nostanut esiin, että juuri tällainen mentaliteetti tekee koko järjestelmästä rakenteellisesti yksityisyyden kanssa ristiriitaisen.
Mainonta ei vaadi valvontaa
Tässä keskustelussa toistuu yksi harhaanjohtava oletus: että internetin mainonta olisi jotenkin väistämättä riippuvainen tästä kaikesta. Näin ei ole. Verkossa voidaan näyttää mainoksia myös ilman, että ihmistä seurataan sivulta toiselle, laitteelta toiselle ja sovelluksesta selaimeen. Kontekstuaalinen mainonta on tästä yksinkertainen esimerkki: mainos näytetään sivun aiheen perusteella, ei käyttäjän yksityiskohtaisen historian perusteella. Tekninen mahdollisuus toisenlaiseen malliin on siis olemassa. Ongelma ei ole mahdollisuuksien puute vaan se, että valvontaan perustuva malli on ollut lyhyellä aikavälillä tuottoisampi.
Ja juuri tässä kohtaa tapaus antaa poliittisen opetuksen. Jos tuottoisin malli palkitsee yhtiön siitä, että se rikkoo turvallisuusperiaatteita saadakseen enemmän henkilötietoa, ei ole uskottavaa odottaa, että ala korjaisi itse itsensä vapaaehtoisesti. Hyvä käytös ei riitä, jos liiketoiminnan logiikka rankaisee siitä.
Miten tätä voisi estää
Tämän paljastuksen tärkein opetus on karu: suuryritykset yrittävät kyllä sitä, minkä ne luulevat voivansa tehdä ilman välitöntä seurausta. Siksi pelkkä luottamus alan itsesääntelyyn ei riitä. Tarvitaan teknisiä suojia, käyttöjärjestelmätason rajoituksia, selainten aktiivisia torjuntamekanismeja ja ennen kaikkea vahvaa sääntelyä, joka ei keskity vain suostumusbannerien muotoon vaan itse liiketoimintamalliin.
Google on viime vuosina muuttanut yksityisyysaloitteitaan useaan otteeseen. Privacy Sandboxin tulevaisuus on muuttunut, ja samalla on jäänyt avoimeksi, miten tehokkaasti Androidin ekosysteemi torjuu juuri tällaiset sovellusten ja selainten väliset kiertoreitit. Tämä tekee tilanteesta entistä ongelmallisemman: jos tekninen suojaus on puutteellinen ja liiketoiminnallinen houkutus suuri, väärinkäytösten todennäköisyys ei vähene itsestään.
Suomen Kansa katsoo, että ainoa todella johdonmukainen ratkaisu olisi siirtyä pois valvontamainonnasta kokonaan. Niin kauan kuin järjestelmän ytimessä on ajatus siitä, että ihmisen mahdollisimman täydellinen läpivalaiseva seuranta on hyväksyttävä kaupallinen perusta, yksityisyys jää aina voiton toissijaiseksi sivuehdoksi.
Lopuksi
Localhost-paljastus jäi ehkä monelle tekniseksi uutiseksi: outo tapa, jolla Meta ja Yandex yhdistivät selaimen ja sovelluksen. Todellisuudessa se on paljon enemmän. Se on kuva siitä, mitä tapahtuu, kun tiedonkeruusta tulee itse tarkoitus. Silloin mikään raja ei ole enää periaatteellinen – ei selain ja sovellus, ei pseudonyymi ja oikea tili, ei turvallisuusperiaate eikä käyttäjän kohtuullinen odotus yksityisyydestä.
Tämä tapaus pitäisi ymmärtää varoituksena. Ei siksi, että Meta ja Yandex olisivat ainutlaatuisen pahoja, vaan siksi, että ne paljastivat ääneen sen, mitä koko ala yrittää hiljaisemmin joka päivä: murtaa ihmisen ympäriltä vielä yhden suojakerroksen, jos siitä saa lisää dataa.
Internetin ei tarvitsisi toimia näin. Mutta niin kauan kuin valvontamainonta on järjestelmän ydin, juuri näin se toimii.
Lähdeluettelo
localmess.github.io
localmess.github.io/assets/bridges-to-self-localmess-usenix-security-26.pdf
networks.imdea.org/research-co-led-by-imdea-networks-discovers-a-privacy-abuse-involving-meta-and-yandex-bridging-persistent-identifiers-to-browsing-histories
ftc.gov/news-events/news/press-releases/2024/09/ftc-staff-report-finds-large-social-media-video-streaming-companies-have-engaged-vast-surveillance
ftc.gov/reports/look-behind-screens-examining-data-practices-social-media-video-streaming-services
security.googleblog.com/2026/02/keeping-google-play-android-app-ecosystem-safe-2025.html
privacysandbox.com/intl/en_us/news/update-on-the-plan-for-phase-out-of-third-party-cookies-on-chrome/
