Компании Meta* и Яндекс годами использовали уязвимость в Android, чтобы тайно связывать веб-активность пользователей с их аккаунтами в приложениях, такими как Facebook*, Instagram* и сервисы Яндекса. По данным Ars Technica, компании обходили защиту Android и браузеров, используя легальные каналы связи между браузером и приложением.
В центре схемы — локальные порты Android, через которые аналитические скрипты вроде Meta Pixel и «Яндекс.Метрики» передавали уникальные идентификаторы браузера. Эти данные перехватывались приложениями и сопоставлялись с конкретным пользователем, даже в режиме инкогнито.
Meta*, начиная с 2023 года, использовала сначала HTTP-запросы на порт 12387, потом WebSocket, а затем и WebRTC, чтобы внедрять куки в поля соединения. Эти данные отправлялись как STUN-запросы, которые могли перехватываться приложениями. Яндекс применял похожий метод с 2017 года.
По оценкам, Meta Pixel установлен примерно на 5,8 млн сайтов. Компания Google признала нарушение политики Play Store и заявила, что методы компаний «грубо нарушают принципы безопасности и конфиденциальности». Некоторые браузеры, включая DuckDuckGo и Brave, уже блокируют такие скрипты. Vivaldi делает это только при включённой защите от трекеров. Chrome и Firefox выпустили частичные исправления.
Meta* временно отключила функцию и ведёт переговоры с Google. Яндекс также заявил, что прекратил использование и не деанонимизировал пользователей. Однако исследователи предупреждают: браузеры вступили в гонку вооружений с трекерами, и защита от подобных методов потребует постоянного мониторинга и обновлений.
Ещё по теме:
- iPhone XS и XR, вероятно, не получат iOS 26
- Mistral представила собственный ИИ-клиент для кодинга — Mistral Code
- Поддержка visionOS появится в игровом движке Godot — при поддержке инженеров Apple
