6 月 4 日消息,科技媒体 Ars Technica 昨日(6 月 3 日)发布博文,报道称 meta 和 Yandex 通过在数百万网站中嵌入追踪代码(如 meta Pixel 和 Yandex Metrica),滥用互联网协议,绕过安卓系统和浏览器的隐私保护,追踪安卓用户。
援引博文介绍,meta 通过在全球约 580 万个网站中嵌入 meta Pixel,俄罗斯搜索巨头 Yandex 在约 300 万个网站中嵌入 Yandex Metrica 追踪器,滥用现代移动浏览器的基本功能,突破安卓系统的“沙箱”隔离机制。
研究人员指出,安卓沙箱本应阻止应用与操作系统或其他应用交互,保护敏感数据。然而,meta 和 Yandex 通过浏览器与原生应用(如 Facebook、Instagram 和 Yandex 应用)之间的本地端口通信,将网页浏览数据关联用户真实身份,彻底破坏匿名性。
研究者 Narseo Vallina-Rodriguez 强调,这种攻击打破了移动端与网页端的安全界限。Yandex 自 2017 年、meta 自 2024 年 9 月开始实施这一绕过机制。
研究者表示这种滥用机制比较复杂,利用浏览器向 Android 本地端口(如 127.0.0.1)发送请求的功能,将追踪标识符(如_fbp cookie)传输至监听端口的原生应用。
meta Pixel 甚至采用 WebRTC 和 SDP munging 等复杂技术,将数据嵌入协议字段中,避开常规防御。
相比之下,iOS 对本地通信控制更严格,而 Android 的宽松设计和后台执行机制为这种滥用提供了可乘之机。谷歌代表称此行为违反 Play 商店服务条款和用户隐私预期,已采取措施并展开调查。
研究人员警告,当前修复措施针对性强,若追踪者更换端口或方法,防御可能失效,亟需从平台层面限制本地端口访问。
