Badacze Ujawniają, że Meta i Yandex Śledziły Tożsamości Przeglądania Użytkowników Androida

Badacze ujawnili, że Meta i rosyjska firma Yandex używały swoich natywnych aplikacji Android do śledzenia danych przeglądania użytkowników bez ich zgody, omijając ochronę prywatności i zabezpieczenia. Google oświadczyło, że prowadzi dochodzenie w sprawie tego nadużycia.

Zgodnie z raportem, zaktualizowanym we wtorek i zatytułowanym „Ukryte śledzenie z sieci Web do aplikacji za pomocą localhost na Androidzie”, Meta i Yandex uzyskały dostęp do metadanych przeglądarki użytkowników, poleceń i plików cookie za pośrednictwem gniazd localhost na ich urządzeniach.

„Ujawniamy nową metodę śledzenia stworzoną przez Meta i Yandex, która potencjalnie wpływa na miliardy użytkowników Androida” – stwierdza dokument. „Odkryliśmy, że natywne aplikacje Androida – w tym Facebook, Instagram oraz kilka aplikacji Yandex, takich jak Mapy i Przeglądarka – cicho nasłuchują na stałych lokalnych portach w celu śledzenia”.

Firmy technologiczne korzystały z metody dzielenia się ID od sieci do aplikacji – Yandex od 2017 roku, a Meta od września 2024 roku – omijając zabezpieczenia, w tym tryb incognito, kontrolę uprawnień Androida i czyszczenie plików cookies. Po udostępnieniu publikacji przez badaczy, Meta przestała korzystać z tej metody śledzenia.

Zgodnie z informacjami na stronie Ars Technica, Google prowadzi śledztwo w tej sprawie i stwierdziło, że Meta i Yandex naruszyły warunki korzystania z ich sklepu Play.

Yandex zapewnił, że funkcja, którą badano, nie zbiera danych osobowych użytkowników, a jej jedynym celem jest świadczenie bardziej spersonalizowanej usługi. Badacze mają jednak inne zdanie i zwracają uwagę na ryzyko związane z zastosowaną metodologią.

„Jedną z podstawowych zasad bezpieczeństwa, która istnieje w sieci, jak również w systemie mobilnym, jest tzw. piaskownica” – powiedział Narseo Vallina-Rodriguez, jeden z badaczy stojących za odkryciem, w wywiadzie dla Ars Technica. „Wszystko uruchamiasz w piaskownicy i nie ma interakcji między różnymi elementami działającymi w niej. To, co pozwala ten wektor ataku, to złamanie piaskownicy, która istnieje pomiędzy kontekstem mobilnym a kontekstem sieciowym. Kanał, który istnieje, pozwolił systemowi Android na przekazywanie informacji o tym, co dzieje się w przeglądarce, z tożsamością działającą w aplikacji mobilnej.”

Badacze zauważyli nadużycie tylko w systemie Android, ale wspomnieli, że mogłoby być zaimplementowane również na iOS.

Inni aktorzy również skierowali swoje działania na użytkowników Androida. Kilka dni temu, badacze z dziedziny cyberbezpieczeństwa ujawnili, że oszuści kradną dane kart poprzez złośliwe oprogramowanie na Androida o nazwie SuperCard X.