Meta* и Яндекс тайно передавали пользовательские данные из браузеров в собственные мобильные приложения на Android, заявили исследователи. Эта технология позволяет связывать историю веб-просмотров с конкретными пользователями, обходя встроенные механизмы конфиденциальности.
К такому выводу пришли специалисты из IMDEA Networks, Университета Радбуда и Лёвенского католического университета. По их данным, скрытое отслеживание реализовано через Meta Pixel* и Яндекс.Метрику, установленные на миллионы сайтов по всему миру. Эти системы заставляют браузеры Chrome и Firefox отправлять уникальные идентификаторы в мобильные приложения: Facebook*, Instagram*, Яндекс Браузер, Поиск, Карты и Навигатор.
Технология нарушает базовый принцип изоляции между веб-контентом и мобильными приложениями, принятый в Android. Операционная система и браузеры по умолчанию хранят данные сайтов в изолированных контейнерах, чтобы приложения не могли к ним получить доступ. Однако описанный метод позволяет обойти эти ограничения.
По данным исследователей, Яндекс использует эту практику с 2017 года, а Meta* начала применять ее в сентябре 2024-го. В обоих случаях данные, включая файлы cookie и уникальные анонимные идентификаторы, пересылаются из браузера в приложение, где связываются с учетной записью пользователя. Отслеживание продолжается даже при использовании приватного режима.
Суть технологии заключается в том, что трекеры отправляют веб-запросы на определенные локальные порты, которые непрерывно отслеживаются приложениями. При этом действиия не выглядят случайными: например, когда в мае Google заблокировала один из используемых методов в тестовой версии Chrome, Meta* в течение нескольких дней реализовала обходной механизм.
Представители Google сообщили ArsTechnica, что такое поведение нарушает политику Play Market и правила Android по защите личных данных. Компания проводит расследование. Meta* в ответ заявила, что приостановила работу функции и ведет переговоры с Google. Яндекс также сообщил о прекращении передачи данных, заявив, что функция использовалась исключительно для персонализации внутри собственных приложений компании.
Исследование с подробным описанием технологии деанонимизации пользователей опубликовано в открытом доступе, однако пока не прошло научного рецензирования.
* Компания Meta Platforms Inc. признана в России экстремистской. Деятельность компании и принадлежащих ей социальных сетей Facebook и Instagram на территории РФ запрещена
Читать далее:
Физики поняли, что произошло в первые секунды Вселенной: это их удивило
Спутник показал гигантские волны, которые девять дней сотрясали Землю
Посмотрите на мощное извержение Этны из космоса: что происходит прямо сейчас
Иллюстрация на обложке: designed by Freepik, лицензия
