Meta та Yandex роками стежили за користувачами Android — деталі

Компанії Meta та Yandex протягом місяців (а у випадку з Yandex — роками) відстежували вебактивність користувачів Android, використовуючи маловідому уразливість у системі. Обидві компанії отримували ідентифікаційні дані з браузерів користувачів, якщо на їхніх пристроях були встановлені відповідні додатки.

Про це пише Lifehacker.

Як працював процес відстеження

Суть методу полягає у використанні так званої "локальної адреси" (localhost), яка дозволяє додаткам із доступом до інтернету взаємодіяти з браузером пристрою. У звичайному сценарії це технічна функція для внутрішньої комунікації системи, але дослідники виявили, що через JavaScript-скрипти — Meta Pixel і Yandex Metrica — компанії можуть отримувати дані про вебперегляд.

Ці скрипти мали працювати лише в межах сайтів, але завдяки лазівці дані (зокрема куки, ідентифікатори сесій і поведінкова інформація) передавалися безпосередньо до додатків Instagram, Facebook, Yandex Maps та інших. Це означає, що навіть після звичайного відвідування сайту з Meta Pixel встановлений додаток міг отримати ваші браузерні дані — без вашого відома чи дозволу.

Уразливими виявилися браузери Chrome, Firefox і Edge. DuckDuckGo блокував деякі домени, тому постраждав мінімально. Браузер Brave взагалі не дозволяв подібні запити без згоди користувача, тож його вдалося вберегти.

За даними дослідження, Yandex почав використовувати цю техніку ще у 2017 році на HTTP-сайтах, а у 2018 — на HTTPS. Meta ж активувала подібне стеження у вересні 2024 року, але вже в жовтні припинила. Надалі вони використовували інші протоколи — WebSocket та WebRTC.

Попри скарги власників сайтів, які почали надходити до Meta ще у вересні, компанія на них не реагувала. Це може свідчити про свідоме ігнорування проблеми.

Дослідники зазначили, що технічно подібне стеження можливе й на iOS, однак обмеження Apple щодо фонових процесів, ймовірно, не дали змоги реалізувати подібну практику на iPhone. Принаймні, доказів цього поки немає.

Станом на 5 червня дослідники більше не фіксують взаємодію Meta Pixel з локальним хостом. Yandex пообіцяла припинити таку практику, а Google відкрила розслідування щодо дій, які грубо порушують принципи безпеки та конфіденційності.

Нагадаємо, WhatsApp, власником якого є Meta, знову викликав хвилю невдоволення серед користувачів — цього разу через нав'язливу кнопку Meta AI. Багато хто вже охрестив її "знущанням" над застосунком.

Також ми писали, що сучасні смартфони вже давно вийшли за межі звичайних засобів зв'язку — вони можуть стати об'єктами прихованого стеження. Шпигунське програмне забезпечення часто не залишає явних слідів, тож важливо звертати увагу на непрямі ознаки та підозрілу поведінку пристрою.