Meta и Яндекс деанонимизируют идентификаторы веб-браузинга пользователей Android

Похоже, что Meta (ранее известная как Facebook) и Yandex нашли способ обойти Android Sandbox, – пишет читатель Slashdot TheWho79. Исследователи раскрыли этот новый метод отслеживания в своем отчете: они обнаружили, что нативные Android-приложения, включая Facebook, Instagram, а также несколько приложений Yandex, таких как Maps и Browser, незаметно прослушивают фиксированные локальные порты для целей отслеживания.

Эти нативные Android-приложения получают метаданные браузеров, файлы cookie и команды от скриптов Meta Pixel и Yandex Metrica, встроенных на тысячах веб-сайтов. Эти JavaScript-скрипты загружаются в мобильные браузеры пользователей и незаметно подключаются к нативным приложениям, работающим на том же устройстве, через сокеты localhost. Поскольку нативные приложения имеют программный доступ к идентификаторам устройств, таким как Android Advertising ID (AAID), или обрабатывают пользовательские идентификаторы, как в случае с приложениями Meta, этот метод фактически позволяет этим организациям связывать сеансы мобильного просмотра и веб-файлы cookie с пользовательскими идентификаторами, тем самым деанонимизируя пользователей, посещающих сайты, на которых встроены их скрипты.

Этот метод обмена идентификаторами между веб-сайтами и приложениями обходит типичные меры защиты конфиденциальности, такие как очистка файлов cookie, режим "Инкогнито" и элементы управления разрешениями Android. Более того, он открывает дверь для потенциально вредоносных приложений, перехватывающих веб-активность пользователей.

Хотя существуют тонкиe различия в том, как Meta и Yandex связывают веб- и мобильные контексты и идентификаторы, обе компании по сути неправильно используют неконтролируемый доступ к сокетам localhost. Операционная система Android позволяет любому установленному приложению с разрешением INTERNET открывать прослушивающий сокет на интерфейсе обратной связи (127.0.0.1). Браузеры, работающие на том же устройстве, также получают доступ к этому интерфейсу без согласия пользователя или посредничества платформы. Это позволяет JavaScript, встроенному на веб-страницах, общаться с нативными Android-приложениями и обмениваться идентификаторами и привычками просмотра, связывая временные веб-идентификаторы с долгоживущими идентификаторами мобильных приложений с использованием стандартных Web API. Эта техника обходит защиту конфиденциальности, такую как режим "Инкогнито", удаление файлов cookie и модель разрешений Android, при этом скрипты Meta Pixel и Yandex Metrica незаметно общаются с приложениями на более чем 6 миллионах веб-сайтов.

После публичного раскрытия информации Meta прекратила использовать этот метод 3 июня 2025 года. Вендоры браузеров, такие как Chrome, Brave, Firefox и DuckDuckGo, внедрили или разрабатывают меры по смягчению последствий, но полное решение может потребовать изменений на уровне операционной системы и более строгого соблюдения политики платформы для предотвращения дальнейших злоупотреблений.