Meta Pixel и Яндекс Метрика обходят защиту Android и деанонимизируют юзеров

Meta Pixel и Яндекс Метрика обходят защиту Android и деанонимизируют юзеров

Meta Pixel и Яндекс Метрика обходят защиту Android и деанонимизируют юзеров

Разработчики Meta (Facebook, Instagram и Meta признаны экстремистскими и запрещены в России) и Яндекса внедрили в свои трекеры — Meta Pixel и Яндекс.Метрику — способ слежки за пользователями Android, который позволяет обходить защиту браузеров и ОС, деанонимизируя пользователей даже в приватном режиме.

Об этом рассказали исследователи из IMDEA Networks и KU Leuven.

Как это работает?

Всё завязано на странное, но формально легальное поведение браузеров. Meta (корпорация признана экстремистской и запрещена в России) и Яндекс используют возможность браузеров на Android обмениваться данными с приложениями, установленными на телефоне, через локальные порты.

Обычно такие порты используются для видеозвонков (WebRTC), отладки и других нужд. Но Meta и Яндекс применяют это для слежки.

Сценарий следующий:

  1. Пользователь открывает Facebook, Instagram (Facebook, Instagram и Meta признаны экстремистскими и запрещены в России) или приложение «Яндекса» — оно начинает слушать локальные порты.
  2. Пользователь заходит в браузере на сайт, где установлен Meta Pixel или Метрика.
  3. Трекер отправляет уникальный идентификатор (например, cookie) по этим портам — и приложение на телефоне его перехватывает.
  4. Таким образом, анонимный визит на сайт превращается в связанный с конкретным аккаунтом в соцсети.

Это происходит молча, без уведомлений и запроса на разрешение. Особенно тревожным выглядит тот факт, что система работает даже в режиме инкогнито и при отсутствии согласия пользователя на трекинг.

Что говорят Google и другие

Google признала, что это поведение нарушает политику Google Play и приватность пользователей. В Chrome уже начали внедрять защиту: например, заблокировали передачу данных через WebRTC. Но Meta быстро обошла это, переключившись на другой протокол — TURN.

Brave и DuckDuckGo уже давно блокируют подобные трекеры. А вот Firefox и Vivaldi, судя по исследованию, пока могут пропускать такую активность, если пользователь не поменяет настройки вручную.

Как долго это продолжается?

Яндекс использует этот трюк с 2017 года, отправляя данные через порты 29009 и 30102. Meta начала применять обход с сентября 2023 года, сначала через обычные HTTP-запросы, а позже — через WebSocket и WebRTC.

По оценке исследователей, Meta Pixel стоит примерно на 5,8 миллиона сайтов, Яндекс.Метрика — на 3 миллионах.

Что делать?

Исследователи рекомендуют: не устанавливайте Facebook, Instagram (Facebook, Instagram и Meta признаны экстремистскими и запрещены в России) и приложения Яндекса на Android. Пока именно они являются ключевыми точками сбора и привязки данных.

Также они призывают Google и других разработчиков пересмотреть подход к работе с локальными портами, чтобы такие схемы невозможно было реализовать технически.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

PT Dephaze научилась строить цепочки атак и тестировать десятки тысяч узлов

Компания Positive Technologies выпустила обновлённую версию PT Dephaze — системы, которая автоматически проводит безопасные тесты на проникновение во внутреннюю инфраструктуру. Новый релиз делает процесс автопентеста более наглядным и приближённым к реальным сценариям атак, а также помогает ИБ-специалистам расставлять приоритеты при устранении уязвимостей.

Главное отличие PT Dephaze от классических сканеров уязвимостей — в подходе.

Вместо длинного списка потенциальных проблем система показывает реальные цепочки атак, по которым злоумышленник может пройти от точки входа до ключевых систем. Такой формат помогает быстро понять, какие из найденных слабых мест действительно опасны и требуют немедленного реагирования.

Новая версия PT Dephaze умеет тестировать десятки тысяч узлов и охватывает всю корпоративную сеть. В список векторов атак добавлены Linux-системы, сетевые принтеры, решения для резервного копирования и инфраструктура Active Directory. Кроме того, продукт теперь связывает найденные логины и пароли с конкретными атаками, упрощая поиск и устранение уязвимостей.

Все действия PT Dephaze имитируют работу реального хакера, но проходят в полностью безопасном режиме. Команды ИБ могут управлять интенсивностью атак, исключать из проверки критически важные сервисы, а любые потенциально опасные действия выполняются только после ручного подтверждения.

«Клиенты часто просили сделать процесс тестирования максимально прозрачным, — рассказал Ярослав Бабин, директор по продуктам для симуляции атак в Positive Technologies. — Теперь можно увидеть весь путь атаки шаг за шагом — какие действия выполняются, какие уязвимости использованы и какие доказательства компрометации получены».

По итогам проверки PT Dephaze предоставляет конкретные доказательства проникновения — скомпрометированные IP-адреса, учётные записи и параметры конфигурации. Эти данные помогают ИТ-командам быстрее согласовать и реализовать исправления, превращая разговор о рисках в чёткий план действий.

В начале года PT Dephaze внесли в единый реестр российского ПО.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru