- 19,423
- 40
- 8 Ноя 2022
Даже в режиме инкогнито.
Meta* и Yandex Для просмотра ссылки Войдиили Зарегистрируйся скрытую технологию отслеживания, связывающую действия пользователей в браузере с их аккаунтами в Android-приложениях. Исследователи утверждают, что нативные приложения Facebook*, Instagram* и несколько приложений Яндекса (включая Карты и Браузер) прослушивали фиксированные порты localhost на устройствах Android для получения данных из веб-скриптов, встроенных на миллионы сайтов.
Эти JavaScript-скрипты — Meta* Pixel и Яндекс.Метрика — запускаются в мобильном браузере и устанавливают соединение с приложениями через сокеты localhost. Через них передаются метаданные, cookie и команды, включая идентификаторы устройств, такие как Для просмотра ссылки Войдиили Зарегистрируйся . Это позволяет деанонимизировать пользователей, связывая их поведение в браузере с учётными записями.
Такая методика обходит стандартные механизмы конфиденциальности — от удаления cookie до инкогнито-режима и настроек разрешений Android. Более того, эти данные могут быть перехвачены сторонними приложениями, если те также прослушивают те же порты.
Meta Pixel передавал Для просмотра ссылки Войдиили Зарегистрируйся из браузера в приложения Meta через WebRTC с SDP Munging, используя порты 12580–12585. Полученные данные приложения Facebook* и Instagram* направляли на сервер через Для просмотра ссылки Войди или Зарегистрируйся . Позже Meta изменила механизм на WebRTC TURN. Обновление Для просмотра ссылки Войди или Зарегистрируйся подтвердило, что Meta прекратила отправку данных на localhost, а соответствующий код почти полностью удалён. Аналогичное прекращение подтверждено и со стороны Яндекса.
Cookie _fbp применяется для идентификации браузеров и встроен примерно на Для просмотра ссылки Войдиили Зарегистрируйся . Несмотря на его статус как first-party cookie, через localhost-коммуникацию Meta получала возможность объединять сессии с разных сайтов.
Яндекс использовал другую схему: его приложения слушали порты 29009, 29010, 30102 и 30103. Скрипт Метрики направлял зашифрованные данные на эти порты, используя адреса 127.0.0.1 и домен yandexmetrica[.]com. Полученные через Для просмотра ссылки Войдиили Зарегистрируйся возвращались браузеру и затем передавались на сервер Метрики (mc[.]yango[.]com). Такая схема действует минимум с Для просмотра ссылки Войди или Зарегистрируйся и усложняет обнаружение из-за обхода традиционных механизмов контроля.
Обе схемы оказались уязвимыми к утечке истории просмотров: стороннее приложение может прослушивать порты и извлекать заголовки Origin, тем самым определяя посещённые сайты. Доказательство концепции, представленное исследователями, подтвердило, что Для просмотра ссылки Войдиили Зарегистрируйся даже в приватном режиме. Brave и DuckDuckGo оказались защищены за счёт блокировки localhost.
По данным Для просмотра ссылки Войдиили Зарегистрируйся , Meta* Pixel встроен на 5,8 млн сайтов, Яндекс.Метрика — Для просмотра ссылки Войди или Зарегистрируйся . При сканировании топ-100 000 сайтов Meta Pixel пытался соединиться с localhost на 13 468 сайтах в США и 11 890 в Европе без предварительного согласия. У Яндекса — на 1 095 и 1 064 сайтах соответственно.
Meta начала использовать метод WebRTC STUN в ноябре 2024 года, а с мая 2025 перешла на WebRTC TURN. Яндекс применяет HTTP-коммуникацию с февраля 2017 года и HTTPS — с мая 2018. Данные зафиксированы в Для просмотра ссылки Войдиили Зарегистрируйся архивов HTTP Archive.
Тесты показали, что браузеры Chrome, Firefox и Edge подвержены уязвимостям. Chrome Для просмотра ссылки Войдиили Зарегистрируйся добавил защиту от SDP Munging. Firefox готовит патчи к версии 139. Brave и DuckDuckGo используют блок-листы и требуют подтверждения при работе с localhost с 2022 года.
Ни Meta, ни Яндекс не документировали этот механизм. Пользователи и разработчики сообщали о странном сетевом поведении в Для просмотра ссылки Войдиили Зарегистрируйся *, не получив ответов. Исследование предполагает, что отслеживание работало даже без входа в аккаунты, в режиме инкогнито и при очистке cookies, что делает его особенно проблемным с точки зрения конфиденциальности.
<span style="font-size: 8pt;">* Компания Meta и её продукты признаны экстремистскими, их деятельность запрещена на территории РФ</span>
Meta* и Yandex Для просмотра ссылки Войди
Эти JavaScript-скрипты — Meta* Pixel и Яндекс.Метрика — запускаются в мобильном браузере и устанавливают соединение с приложениями через сокеты localhost. Через них передаются метаданные, cookie и команды, включая идентификаторы устройств, такие как Для просмотра ссылки Войди
Такая методика обходит стандартные механизмы конфиденциальности — от удаления cookie до инкогнито-режима и настроек разрешений Android. Более того, эти данные могут быть перехвачены сторонними приложениями, если те также прослушивают те же порты.
Meta Pixel передавал Для просмотра ссылки Войди
Cookie _fbp применяется для идентификации браузеров и встроен примерно на Для просмотра ссылки Войди
Яндекс использовал другую схему: его приложения слушали порты 29009, 29010, 30102 и 30103. Скрипт Метрики направлял зашифрованные данные на эти порты, используя адреса 127.0.0.1 и домен yandexmetrica[.]com. Полученные через Для просмотра ссылки Войди
Обе схемы оказались уязвимыми к утечке истории просмотров: стороннее приложение может прослушивать порты и извлекать заголовки Origin, тем самым определяя посещённые сайты. Доказательство концепции, представленное исследователями, подтвердило, что Для просмотра ссылки Войди
По данным Для просмотра ссылки Войди
Meta начала использовать метод WebRTC STUN в ноябре 2024 года, а с мая 2025 перешла на WebRTC TURN. Яндекс применяет HTTP-коммуникацию с февраля 2017 года и HTTPS — с мая 2018. Данные зафиксированы в Для просмотра ссылки Войди
Тесты показали, что браузеры Chrome, Firefox и Edge подвержены уязвимостям. Chrome Для просмотра ссылки Войди
Ни Meta, ни Яндекс не документировали этот механизм. Пользователи и разработчики сообщали о странном сетевом поведении в Для просмотра ссылки Войди
<span style="font-size: 8pt;">* Компания Meta и её продукты признаны экстремистскими, их деятельность запрещена на территории РФ</span>
- Источник новости
- www.securitylab.ru
