Міжнародна команда дослідників виявила, що компанії Meta (власник Facebook та Instagram) і російська Yandex застосовували приховані техніки для деанонімізації веб-активності користувачів Android. Ці методи дозволяли їм пов’язувати дії користувачів у браузерах із їхніми акаунтами в мобільних додатках, обходячи стандартні механізми захисту приватності. Про це повідомляє Android Headlines.
Як працює приховане відстеження
Виявлена техніка базується на використанні трекерів Meta Pixel та Yandex Metrica, які вбудовані в мільйони вебсайтів. Коли користувач відвідує такий сайт у браузері на Android-пристрої, ці скрипти встановлюють з’єднання через локальні порти (localhost) з відповідними мобільними додатками, що працюють на тому ж пристрої.
Це дозволяє передавати ідентифікатори, такі як cookie-файли або інші унікальні маркери, безпосередньо до додатків, де вони зв’язуються з обліковими записами користувачів. Таким чином, навіть якщо користувач переглядає веб у режимі інкогніто або використовує VPN, його дії можуть бути пов’язані з конкретною особою.
Реакція компаній та заходи безпеки
Після оприлюднення дослідження компанії Meta та Yandex заявили про припинення використання цієї практики. Meta зазначила, що “вивчає можливе непорозуміння щодо застосування політик Google” і тимчасово призупинила функцію, тоді як Yandex запевнила, що “не деанонімізує дані користувачів” і використовує зібрану інформацію лише для персоналізації.
Google розпочала власне розслідування, визнавши, що описана поведінка порушує принципи безпеки та приватності Android. Mozilla також працює над оновленнями для Firefox на Android, щоб запобігти подібному відстеженню.
Наслідки для користувачів та поради
Цей випадок підкреслює, що навіть використання режиму інкогніто або VPN не гарантує повної анонімності в Інтернеті. Користувачам Android рекомендується:
- Перевірити, які додатки мають доступ до Інтернету та встановлені на пристрої.
- Використовувати браузери з вбудованими механізмами блокування трекерів, такі як Brave або DuckDuckGo.
- Регулярно оновлювати операційну систему та додатки для отримання останніх патчів безпеки.
Цей інцидент також може стати приводом для посилення регуляторного контролю над практиками збору даних великими технологічними компаніями.
