Meta Pixel и Яндекс Метрика обходят защиту Android и деанонимизируют юзеров

Meta Pixel и Яндекс Метрика обходят защиту Android и деанонимизируют юзеров

Meta Pixel и Яндекс Метрика обходят защиту Android и деанонимизируют юзеров

Разработчики Meta (Facebook, Instagram и Meta признаны экстремистскими и запрещены в России) и Яндекса внедрили в свои трекеры — Meta Pixel и Яндекс.Метрику — способ слежки за пользователями Android, который позволяет обходить защиту браузеров и ОС, деанонимизируя пользователей даже в приватном режиме.

Об этом рассказали исследователи из IMDEA Networks и KU Leuven.

Как это работает?

Всё завязано на странное, но формально легальное поведение браузеров. Meta (корпорация признана экстремистской и запрещена в России) и Яндекс используют возможность браузеров на Android обмениваться данными с приложениями, установленными на телефоне, через локальные порты.

Обычно такие порты используются для видеозвонков (WebRTC), отладки и других нужд. Но Meta и Яндекс применяют это для слежки.

Сценарий следующий:

  1. Пользователь открывает Facebook, Instagram (Facebook, Instagram и Meta признаны экстремистскими и запрещены в России) или приложение «Яндекса» — оно начинает слушать локальные порты.
  2. Пользователь заходит в браузере на сайт, где установлен Meta Pixel или Метрика.
  3. Трекер отправляет уникальный идентификатор (например, cookie) по этим портам — и приложение на телефоне его перехватывает.
  4. Таким образом, анонимный визит на сайт превращается в связанный с конкретным аккаунтом в соцсети.

Это происходит молча, без уведомлений и запроса на разрешение. Особенно тревожным выглядит тот факт, что система работает даже в режиме инкогнито и при отсутствии согласия пользователя на трекинг.

Что говорят Google и другие

Google признала, что это поведение нарушает политику Google Play и приватность пользователей. В Chrome уже начали внедрять защиту: например, заблокировали передачу данных через WebRTC. Но Meta быстро обошла это, переключившись на другой протокол — TURN.

Brave и DuckDuckGo уже давно блокируют подобные трекеры. А вот Firefox и Vivaldi, судя по исследованию, пока могут пропускать такую активность, если пользователь не поменяет настройки вручную.

Как долго это продолжается?

Яндекс использует этот трюк с 2017 года, отправляя данные через порты 29009 и 30102. Meta начала применять обход с сентября 2023 года, сначала через обычные HTTP-запросы, а позже — через WebSocket и WebRTC.

По оценке исследователей, Meta Pixel стоит примерно на 5,8 миллиона сайтов, Яндекс.Метрика — на 3 миллионах.

Что делать?

Исследователи рекомендуют: не устанавливайте Facebook, Instagram (Facebook, Instagram и Meta признаны экстремистскими и запрещены в России) и приложения Яндекса на Android. Пока именно они являются ключевыми точками сбора и привязки данных.

Также они призывают Google и других разработчиков пересмотреть подход к работе с локальными портами, чтобы такие схемы невозможно было реализовать технически.

Каждая пятая утечка уже связана с теневым использованием ИИ

Сотрудники всё чаще отправляют рабочие данные в нейросети быстрее, чем службы ИБ успевают понять, что вообще происходит. По данным «Информзащиты», в июле 2026 года уже 20% организаций, столкнувшихся с утечками, хотя бы частично связали инциденты с несанкционированным использованием ИИ. Годом ранее таких случаев было около 12%.

И это не безобидное попросил чат-бота поправить письмо. В публичные ИИ-сервисы загружают договоры, исходный код, внутреннюю переписку, клиентские обращения и техническую документацию.

На веб-интерфейсы нейросетей приходится около 42% подобных инцидентов. Ещё 24% утечек связаны с браузерными расширениями и ИИ-помощниками.

Они получают доступ к вкладкам, истории сессий и cookie, а потом тихо делают то, на что им когда-то нажали «Разрешить». Самостоятельно подключённые API и библиотеки дают ещё 19%, инструменты для программирования — 15%.

Проблема в том, что классические средства защиты часто не видят ничего подозрительного. Домен легитимный, TLS работает, вредоносной сигнатуры нет. Только конфиденциальный документ уже уехал во внешний сервис.

Почти у трети компаний, использующих ИИ, находят хотя бы один API-ключ или секрет в небезопасном месте: конфигурациях, тестовых скриптах, рабочих станциях и Git-репозиториях. Получив такой ключ, атакующий может не только потратить чужой бюджет, но и добраться до подключённых баз данных и RAG-хранилищ.

Дороже всего здесь обходится позднее обнаружение. Инциденты с теневым ИИ в среднем увеличивают ущерб примерно на $670 тыс.

Эксперты советуют начинать не с тотальных запретов, а с инвентаризации сервисов, поиска ключей, контроля расширений и классификации данных. Потому что запретить ChatGPT приказом легко. Гораздо сложнее заметить, что сотрудник уже загрузил туда половину проекта.

RSS: Новости на портале Anti-Malware.ru