Как Мета и Яндекс собирают определенные данные о ваших интернет-привычках без вашего согласия

Группа исследователей пришла к выводу, что технологические компании Meta и «Яндекс» без разрешения отслеживают действия пользователей на устройствах Android , используя скрипты Pixel и Metrica для выявления их интернет-привычек и связывания их с конкретными лицами, деанонимизируя веб-трафик.

Метод отслеживания, используемый Meta и Яндексом, мог затронуть «миллиарды» пользователей , эксплуатируя уязвимость в собственных приложениях Android, таких как Facebook и Instagram в случае Meta и Карты в случае Яндекса в браузере.

Это связано с тем, что используемая технология позволяет собственным приложениям получать информацию о просмотренных пользователем страницах через локальные соединения без его явного согласия , обходя механизмы обеспечения конфиденциальности, такие как режим инкогнито, удаление файлов cookie или даже просмотр через VPN.

На самом деле, этот метод отслеживания может работать , даже если пользователь не вошел в Facebook, Instagram или Яндекс в своих мобильных браузерах, как объяснила в публикации на GitHub организация IMDEA Networks, отвечающая за исследование.

Таким образом, по словам исследователей, принцип работы основан на том, что собственные приложения Android получают информацию об интернет-опыте пользователей, такую ​​как метаданные, файлы cookie и команды браузера, из скриптов Meta Pixel и Yandex Metrica, которые интегрированы в тысячи веб-сайтов.

Эти скрипты загружаются в мобильные браузеры пользователей и незаметно подключаются к собственным приложениям, запущенным на том же устройстве, через локальные сокеты. Это точка связи, которая позволяет программам общаться друг с другом как локально, так и по сети.

Ко всему этому следует добавить тот факт, что собственные приложения Android имеют доступ к идентификаторам устройств, таким как Android Advertising ID (AAID), или управляют идентификацией пользователей, как в случае с социальными сетями Meta. Таким образом, компании могут связывать сеансы просмотра и полученные веб-cookie с идентификацией пользователей.

То есть, когда пользователь посещает веб-страницу, содержащую скрипт Meta Pixel или Yandex Metrica, из браузера на своем Android-устройстве, скрипт отправляет информацию об его активности, например файлы cookie, в собственные приложения на устройстве.

По словам исследователей, этот процесс деанонимизации посещений веб-сайтов возможен на Android, поскольку его операционная система позволяет любому установленному приложению с разрешением INTERNET открывать прослушивающий сокет на интерфейсе loopback (127.0.0.1), а также сокеты TCP (HTTP) или UDP (WebRTC). Браузеры также получают доступ к этому интерфейсу без согласия пользователя.

Это позволяет скриптам взаимодействовать с собственными приложениями Android и тайно обмениваться различной информацией, что приводит к злоупотреблению конфиденциальностью пользователей со стороны Meta и Yandex, позволяя связывать веб-активность пользователей с их личностями.

В частности, эти действия были выявлены в ходе совместного расследования, проведенного организацией интернет-аналитики IMDEA Networks под руководством профессора IMDEA Нарсео Валлина-Родригеса, а также профессора Гюнеса Аджара из Университета Радбауда (Нидерланды) и профессора Тима Влумменса из Католического университета Лёвена (Бельгия).

Аналогичным образом, основываясь на этом анализе активности Meta, технологическая компания подтвердила, что скрипт Meta Pixel прекратил отправлять пакеты или запросы на локальный адрес в своих приложениях, что означает прекращение отслеживания активности браузера владельцем Facebook.

Однако следует отметить, что подобные методы отслеживания могут продолжать использоваться другими компаниями или злоумышленниками. Кроме того, они также могут привести к раскрытию истории просмотров пользователей третьим лицам.

По данным расследования, российская технологическая компания использует этот метод для отслеживания действий пользователей с 2017 года. Аналогично в случае с Meta компания под руководством Марка Цукерберга начала использовать этот метод в сентябре 2024 года.

При этом, по данным мониторингового сайта BuiltWith, скрипт Meta Pixel установлен более чем на 5,8 млн сайтов, а Яндекс Метрика выявила его примерно на 3 млн сайтов.

До сих пор эта техника была обнаружена только в веб-скриптах Meta и Yandex, нацеленных исключительно на устройства Android, хотя организация пояснила, что нельзя исключать аналогичный обмен данными между браузерами iOS и нативными приложениями.

IMDEA Networks подчеркивает, что этот метод отслеживания «использует неограниченный доступ к локальным сокетам на платформах Android» без ведома пользователя, поскольку «текущие средства контроля конфиденциальности недостаточны для его контроля и смягчения».

Поэтому они разделяют необходимость работы над долгосрочными решениями, которые позволят управлять доступом к локальным портам, оповещать пользователей в случае попытки доступа или внедрять более строгие политики платформы, сопровождаемые мерами принуждения для предотвращения неправомерного использования.