Meta: Sledenje uporabnikom Androida
Raziskovalci pravijo, da sta Meta in Yandex izkoriščala tehnično vrzel v sistemu Android za sledenje uporabnikom
Novica je bila objavljena 3.6.2025
Varnostni raziskovalci iz podjetij IMDEA Networks, Univerze Radboud in KU Leuven so razkrili, da sta Meta (Facebook, Instagram) in Yandex izkoriščala tehnično vrzel v napravah Android, da sta zaobšla zaščito zasebnosti in povezala podatke brskanja uporabnikov po spletu z njihovimi identitetami v aplikacijah.
Poročilo podrobno pojasnjuje, kako sta obe podjetji uporabljali aplikacije za Android za sledenje preko vrat »localhost« – omrežnih vmesnikih s povratno zanko, ki so običajno rezervirani za notranjo komunikacijo aplikacij. Z namestitvijo sledilnih piškotkov (Meta Pixel in Yandex Metrica) na tisočih spletnih mestih sta podjetji omogočili tem sledilnikom, da so prek localhost vrat komunicirali neposredno z njihovimi Android aplikacijami, pri čemer so prenašali sledilne piškotke in metapodatke brskalnika.
Ta pristop je omogočil povezovanje spletnih sej z identitetami posameznih uporabnikov, s čimer so zaobšli mehanizme za zagotavljanje zasebnosti kot so brisanje piškotkov, način brez beleženja zgodovine in upravljanje dovoljenj v sistemu Android. Raziskovalci so ugotovili, da je koda Mete uporabljala protokole »WebRTC »in tehnike, kot je »munging SDP«, za posredovanje podatkov iz brskalnikov v storitve aplikacij v ozadju.
Po objavi študije je Meta domnevno 3. junija 2025 ustavila sledenje preko vrat »localhost« in odstranila večino s tem povezane kode. Google Chrome je v verziji 137 uvedel omejene protiukrepe, ukrepala pa sta tudi Mozilla in DuckDuckGo. Brave ostaja nespremenjen zaradi strožjih pravil dostopa do »localhost »vrat. Meta je izjavila, da se pogaja z Googlom in da je funkcijo začasno ustavila, medtem ko išče rešitev.
Celotno poročilo je dostopno tukaj
Vir: TheRegister
Naslovna slika: RawPixel
