Meta та Yandex роками деанонімізували користувачів Android у вебперегляді
Група дослідників з IMDEA Networks виявила, що компанії Meta та Yandex несанкціоновано деанонімізують користувачів Android у вебпошуку. Причому, якщо Meta запровадила таку практику у вересні 2023 року, то російський Yandex експлуатує її з 2017-го.
Що відомо
- Компанія Цукерберга використовує трекер Meta Pixel. Його встановлено на 5,8 млн вебсайтів. Трекер Yandex Metrica виявили на 3 млн сайтів.
- Один з дослідників, Ґюнес Акар, доцент у Групі цифрової безпеки Радбудського університету та iHub, розповів, що вперше помітив трекер Meta, коли заходив на вебсайт свого власного університету.
- Ці протоколи надсилають унікальні ідентифікатори Android-користувачів з браузерів у нативні застосунки Facebook, Instagram та «Яндекса» через локальні порти, у такий спосіб деанонімізуючи їх.
- Коли користувач відвідує сайт, на якому встановлено трекер Meta або Yandex, JavaScript-код надсилає cookie та інші ідентифікатори з Firefox та Chromium-браузерів на локальні порти, які постійно прослуховують встановлені на Android нативні застосунки Facebook, Instagram і цілу низку застосунків з екосистеми Yandex.
- Потім ці застосунки пов’язують анонімну історію переглядів у вебі з конкретним обліковим записом користувача, тим самим його деанонімізуючи. Для цього Meta та Yandex обходять основні механізми безпеки та конфіденційності, які надає як операційна система Android і браузери, що працюють на ній.
- Як відмічає Arstechnica, це зловживання спостерігалося лише на Android, однак технічно можливо реалізувати подібну атаку і на iOS, оскільки браузери на цій платформі дозволяють розробникам програмно встановлювати з’єднання з localhost, які застосунки можуть моніторити через локальні порти.
Реакція компаній
- Представник Google заявив, що така поведінка порушує умови обслуговування магазину Play та очікування конфіденційності користувачів Android.
«Розробники, згадані в цьому звіті, використовують можливості, які наявні в багатьох браузерах на iOS та Android, у спосіб, що явно порушує наші принципи безпеки та конфіденційності, — прокоментував представник Google. – Ми вже впровадили зміни для пом’якшення впливу цих нав’язливих технік, відкрили власне розслідування і безпосередньо зв’язалися із зацікавленими сторонами».
Meta надала Arstechnica таку заяву:
«Ми ведемо переговори з Google, щоб з’ясувати потенційне непорозуміння щодо застосування їхньої політики. Після того як ми дізналися про ці занепокоєння, ми вирішили призупинити функцію, поки працюємо з Google над подоланням проблеми».
Yandex повідомив, що припиняє використання цієї практики та також перебуває в контакті з Google:
«Yandex суворо дотримується стандартів захисту даних і не здійснює деанонімізацію користувацьких даних. Функція, про яку йде мова, не збирає жодної чутливої інформації і має на меті виключно покращення персоналізації в наших застосунках».
- Цікаво, що деякі браузери для Android блокували шкідливий JavaScript у трекерах ще до того, як дослідження було оприлюднене. Наприклад, DuckDuckGo блокував домени та IP-адреси, пов’язані з трекерами, тим самим запобігаючи передачі будь-яких ідентифікаторів Meta. Браузер також блокував більшість доменів, пов’язаних із Yandex Metrica. Після того як дослідники повідомили DuckDuckGo про неповний список заблокованих адрес, розробники додали відсутні записи до чорного списку.
- Brave блокує передачу ідентифікаторів завдяки розширеним спискам блокування та наявним механізмам, які перешкоджають запитам до localhost без явної згоди користувача.
- Водночас Vivaldi, ще один браузер на базі Chromium потрапляє на гачок трекерів лише у тому випадку, якщо Android-користувач використовує типове налаштування конфіденційності. Зміна налаштувань на блокування трекерів допомагає запобігти витоку історії перегляду.
- Однак дослідники вважають, що блоклісти – не найкраще рішення. Будуть зʼявлятися все нові і нові домени, браузери будуть змушені постійно це моніторити. Та й інші зміни тимчасові, за бажання компанії легкістю вдосконалять свої механізми деанонімізації.
Чому це цікаво
Навряд чи когось дивує, що американська Meta, а тим більше російський Yandex використовують несанкціоновані методи деанонімізації користувачів. Якщо для Meta це вічна гонитва за збільшенням доходів через рекламні послуги, то для Yandex це може бути інструментом набагато небезпечнішим для користувачів.
Екосистема додатків «Яндекса» включає пошту, карти, навігатори та багато іншого, і хоча на території України всі вони заблоковані, чимало людей все ще користуються ними через VPN. Однак, як зауважили дослідники, анонімайзери не допомагають захиститися від вищезазначених інструментів трекінгу, а вірити у те, що Yandex дійсно припинила цю практику, щонайменше наївно.
Це дослідження – ще одне нагадування про те, що у 2025 році анонімність в інтернеті – штука ефемерна. Як виявилося, інкогніто-браузинг – не дуже-то й інкогніто. Враховуйте це, коли наступний раз будете гуглити щось в інтернеті.
Meta та Yandex роками деанонімізували користувачів Android у вебперегляді
Група дослідників з IMDEA Networks виявила, що компанії Meta та Yandex несанкціоновано деанонімізують користувачів Android у вебпошуку. Причому, якщо Meta запровадила таку практику у вересні 2023 року, то російський Yandex експлуатує її з 2017-го.
Що відомо
- Компанія Цукерберга використовує трекер Meta Pixel. Його встановлено на 5,8 млн вебсайтів. Трекер Yandex Metrica виявили на 3 млн сайтів.
- Один з дослідників, Ґюнес Акар, доцент у Групі цифрової безпеки Радбудського університету та iHub, розповів, що вперше помітив трекер Meta, коли заходив на вебсайт свого власного університету.
- Ці протоколи надсилають унікальні ідентифікатори Android-користувачів з браузерів у нативні застосунки Facebook, Instagram та «Яндекса» через локальні порти, у такий спосіб деанонімізуючи їх.
- Коли користувач відвідує сайт, на якому встановлено трекер Meta або Yandex, JavaScript-код надсилає cookie та інші ідентифікатори з Firefox та Chromium-браузерів на локальні порти, які постійно прослуховують встановлені на Android нативні застосунки Facebook, Instagram і цілу низку застосунків з екосистеми Yandex.
- Потім ці застосунки пов’язують анонімну історію переглядів у вебі з конкретним обліковим записом користувача, тим самим його деанонімізуючи. Для цього Meta та Yandex обходять основні механізми безпеки та конфіденційності, які надає як операційна система Android і браузери, що працюють на ній.
- Як відмічає Arstechnica, це зловживання спостерігалося лише на Android, однак технічно можливо реалізувати подібну атаку і на iOS, оскільки браузери на цій платформі дозволяють розробникам програмно встановлювати з’єднання з localhost, які застосунки можуть моніторити через локальні порти.
Реакція компаній
- Представник Google заявив, що така поведінка порушує умови обслуговування магазину Play та очікування конфіденційності користувачів Android.
«Розробники, згадані в цьому звіті, використовують можливості, які наявні в багатьох браузерах на iOS та Android, у спосіб, що явно порушує наші принципи безпеки та конфіденційності, — прокоментував представник Google. – Ми вже впровадили зміни для пом’якшення впливу цих нав’язливих технік, відкрили власне розслідування і безпосередньо зв’язалися із зацікавленими сторонами».
Meta надала Arstechnica таку заяву:
«Ми ведемо переговори з Google, щоб з’ясувати потенційне непорозуміння щодо застосування їхньої політики. Після того як ми дізналися про ці занепокоєння, ми вирішили призупинити функцію, поки працюємо з Google над подоланням проблеми».
Yandex повідомив, що припиняє використання цієї практики та також перебуває в контакті з Google:
«Yandex суворо дотримується стандартів захисту даних і не здійснює деанонімізацію користувацьких даних. Функція, про яку йде мова, не збирає жодної чутливої інформації і має на меті виключно покращення персоналізації в наших застосунках».
- Цікаво, що деякі браузери для Android блокували шкідливий JavaScript у трекерах ще до того, як дослідження було оприлюднене. Наприклад, DuckDuckGo блокував домени та IP-адреси, пов’язані з трекерами, тим самим запобігаючи передачі будь-яких ідентифікаторів Meta. Браузер також блокував більшість доменів, пов’язаних із Yandex Metrica. Після того як дослідники повідомили DuckDuckGo про неповний список заблокованих адрес, розробники додали відсутні записи до чорного списку.
- Brave блокує передачу ідентифікаторів завдяки розширеним спискам блокування та наявним механізмам, які перешкоджають запитам до localhost без явної згоди користувача.
- Водночас Vivaldi, ще один браузер на базі Chromium потрапляє на гачок трекерів лише у тому випадку, якщо Android-користувач використовує типове налаштування конфіденційності. Зміна налаштувань на блокування трекерів допомагає запобігти витоку історії перегляду.
- Однак дослідники вважають, що блоклісти – не найкраще рішення. Будуть зʼявлятися все нові і нові домени, браузери будуть змушені постійно це моніторити. Та й інші зміни тимчасові, за бажання компанії легкістю вдосконалять свої механізми деанонімізації.
Чому це цікаво
Навряд чи когось дивує, що американська Meta, а тим більше російський Yandex використовують несанкціоновані методи деанонімізації користувачів. Якщо для Meta це вічна гонитва за збільшенням доходів через рекламні послуги, то для Yandex це може бути інструментом набагато небезпечнішим для користувачів.
Екосистема додатків «Яндекса» включає пошту, карти, навігатори та багато іншого, і хоча на території України всі вони заблоковані, чимало людей все ще користуються ними через VPN. Однак, як зауважили дослідники, анонімайзери не допомагають захиститися від вищезазначених інструментів трекінгу, а вірити у те, що Yandex дійсно припинила цю практику, щонайменше наївно.
Це дослідження – ще одне нагадування про те, що у 2025 році анонімність в інтернеті – штука ефемерна. Як виявилося, інкогніто-браузинг – не дуже-то й інкогніто. Враховуйте це, коли наступний раз будете гуглити щось в інтернеті.
