Z pozoru anonimowe przeglądanie internetu na urządzeniach z Androidem było przez lata monitorowane przez dwie technologiczne potęgi: Meta i Yandex. Nowe badania ujawniają, że firmy wykorzystywały luki w systemie Android i przeglądarkach internetowych, aby powiązać aktywność w sieci z konkretnymi tożsamościami użytkowników zalogowanych do takich aplikacji jak Facebook, Instagram czy usługi Yandex.
Z ustaleń opublikowanych przez zespół badaczy i opisanych szczegółowo przez Ars Technica wynika, że Meta i Yandex stosowały zaawansowaną technikę śledzenia wykorzystującą legalne protokoły komunikacyjne pomiędzy przeglądarką a natywnymi aplikacjami. System ten skutecznie omijał sandboxing Androida i zabezpieczenia prywatności przeglądarek, pozwalając aplikacjom zbierać dane o historii przeglądania – nawet gdy użytkownik korzystał z trybu incognito.
Jak działał mechanizm śledzenia?
Sercem operacji były skrypty analityczne: Meta Pixel oraz Yandex Metrica, powszechnie wykorzystywane na milionach stron internetowych do śledzenia skuteczności kampanii reklamowych. W praktyce jednak umożliwiały one przekazywanie unikalnych identyfikatorów użytkowników (takich jak pliki cookie) przez lokalne porty w systemie Android, które były nasłuchiwane przez odpowiednie aplikacje firm Meta i Yandex.
Ten wektor ataku pozwala na złamanie piaskownicy między kontekstem aplikacyjnym a przeglądarkowym — wyjaśnił Narseo Vallina-Rodriguez, jeden z badaczy. — Dzięki tej luce system Android przekazywał informacje, które mogły być użyte do identyfikacji użytkownika zalogowanego do aplikacji mobilnej, mimo że dane te pochodziły z przeglądarki.
Meta wykorzystywała do tego różne technologie – początkowo były to żądania HTTP wysyłane na port 12387, później zastosowano protokół WebSocket, a w kolejnych etapach nawet WebRTC – narzędzie zwykle używane w transmisjach wideo. Dzięki manipulacji danymi Session Description Protocol (SDP) możliwe było „przemycanie” identyfikatorów śledzących przez standardowe kanały komunikacji.
Z kolei Yandex Metrica od co najmniej 2017 r. stosowała podobne metody, komunikując się z lokalnymi portami poprzez protokoły HTTP i HTTPS.
Reakcje: od zaprzeczeń po środki zaradcze
W reakcji na ustalenia badaczy, Google, właściciel Androida, przyznał, że praktyki te stanowią naruszenie zasad Play Store oraz oczekiwań użytkowników w zakresie prywatności. — Deweloperzy w tym raporcie wykorzystali funkcje przeglądarek w sposób niezamierzony, łamiąc nasze zasady bezpieczeństwa — oświadczył rzecznik Google. Firma wdrożyła środki zaradcze i prowadzi dalsze dochodzenie.
Meta ogłosiła, że tymczasowo wycofała funkcję śledzenia i prowadzi rozmowy z Google w celu „wyjaśnienia nieporozumień” dotyczących interpretacji polityki prywatności.
Yandex również zapowiedział zaprzestanie tej praktyki, zapewniając, że nie deanonimizuje danych i stosował śledzenie wyłącznie w celu personalizacji treści.
Przeglądarki kontra śledzenie: wyścig zbrojeń trwa
Niektóre przeglądarki internetowe podjęły już działania ochronne. DuckDuckGo i Brave zablokowały skrypty i domeny powiązane z Meta Pixel i Yandex Metrica. Inne, jak Chrome czy Firefox, wprowadziły poprawki ograniczające wykorzystanie lokalnych portów, choć badacze ostrzegają, że zmiany te można łatwo obejść.
Przeglądarka Vivaldi, również oparta na Chromium, przekazuje dane do portów lokalnych, chyba że użytkownik ręcznie aktywuje blokowanie trackerów.
To nie koniec problemu. Twórcy przeglądarek i autorzy trackerów są w stanie ciągłej rywalizacji — ostrzega Gunes Acar, który jako pierwszy wykrył wykorzystywanie lokalnych portów przez Meta Pixel. — Tworzenie skutecznych list blokujących jest trudne, a przeglądarki muszą stale monitorować, które hosty nadużywają komunikacji przez localhost.
Pokaż / Dodaj komentarze do: Meta pokonała Androida. Śledzą wszystkich pomimo zabezpieczeń i opcji prywatności