Разработчики Meta (Facebook, Instagram и Meta признаны экстремистскими и запрещены в России) и Яндекса внедрили в свои трекеры — Meta Pixel и Яндекс.Метрику — способ слежки за пользователями Android, который позволяет обходить защиту браузеров и ОС, деанонимизируя пользователей даже в приватном режиме.
Об этом рассказали исследователи из IMDEA Networks и KU Leuven.
Как это работает?
Всё завязано на странное, но формально легальное поведение браузеров. Meta (корпорация признана экстремистской и запрещена в России) и Яндекс используют возможность браузеров на Android обмениваться данными с приложениями, установленными на телефоне, через локальные порты.
Обычно такие порты используются для видеозвонков (WebRTC), отладки и других нужд. Но Meta и Яндекс применяют это для слежки.
Сценарий следующий:
- Пользователь открывает Facebook, Instagram (Facebook, Instagram и Meta признаны экстремистскими и запрещены в России) или приложение «Яндекса» — оно начинает слушать локальные порты.
- Пользователь заходит в браузере на сайт, где установлен Meta Pixel или Метрика.
- Трекер отправляет уникальный идентификатор (например, cookie) по этим портам — и приложение на телефоне его перехватывает.
- Таким образом, анонимный визит на сайт превращается в связанный с конкретным аккаунтом в соцсети.
Это происходит молча, без уведомлений и запроса на разрешение. Особенно тревожным выглядит тот факт, что система работает даже в режиме инкогнито и при отсутствии согласия пользователя на трекинг.
Что говорят Google и другие
Google признала, что это поведение нарушает политику Google Play и приватность пользователей. В Chrome уже начали внедрять защиту: например, заблокировали передачу данных через WebRTC. Но Meta быстро обошла это, переключившись на другой протокол — TURN.
Brave и DuckDuckGo уже давно блокируют подобные трекеры. А вот Firefox и Vivaldi, судя по исследованию, пока могут пропускать такую активность, если пользователь не поменяет настройки вручную.
Как долго это продолжается?
Яндекс использует этот трюк с 2017 года, отправляя данные через порты 29009 и 30102. Meta начала применять обход с сентября 2023 года, сначала через обычные HTTP-запросы, а позже — через WebSocket и WebRTC.
По оценке исследователей, Meta Pixel стоит примерно на 5,8 миллиона сайтов, Яндекс.Метрика — на 3 миллионах.
Что делать?
Исследователи рекомендуют: не устанавливайте Facebook, Instagram (Facebook, Instagram и Meta признаны экстремистскими и запрещены в России) и приложения Яндекса на Android. Пока именно они являются ключевыми точками сбора и привязки данных.
Также они призывают Google и других разработчиков пересмотреть подход к работе с локальными портами, чтобы такие схемы невозможно было реализовать технически.
