Meta злоупотребляет веб -протоколами для отслеживания и идентификации пользователей
American Giant Meta испытывает серьезные обвинения после того, как ее поймали с использованием скрытых методов, чтобы следовать пользователям Android, даже когда они, казалось бы, анонимны, в режиме Embeno в браузере. Используемые методы включали манипулирование законными веб -протоколами, преобразованными в инструменты сбора данных без согласия пользователей.
Как была направлена стандартная веб -инфраструктура
В основе схемы, установленной металами -инженерами Изменение поведения сценария мета -пикселяфрагмент кода, интегрированный на многих сайтах, чтобы позволить компаниям следовать взаимодействию пользователей с соответствующими страницами. Однако в противоречивом жесте этот сценарий был адаптирован для отправки данных о просмотре, собранных в браузере Chrome, а другие браузеры Android-Riecterly к местным приложениям, принадлежащим Meta, таким как Facebook и Instagram.
Чтобы сделать это возможным, Meta использовала серию протоколов, которые считаются законными в интернет -архитектуре: HttpВ Webrtc и Веб -сайтПолем Через них данные трафика, которые должны были оставаться анонимными, были перехвачены и перенаправлены на собственные приложения, установленные на телефоне пользователя. На другом конце соединения соответствующие приложения пассивно «слушали» на локальном трафике, анализируя пакеты данных, которые проходили через Местный хост — Область внутренней сети устройства, обычно считающаяся безопасной и изолированной.
Почему работал только на Android, а не на iPhone
Важным аспектом этого нарушения конфиденциальности является то, что Тактика не работала на iPhoneи объяснение о том, как Apple изоляты доступа к сети между приложениями. На Android операционная система позволяет приложениям более разрешительный доступ к LocalHost, что позволило мета -приложениям перехватывать трафик, генерируемый браузером. С другой стороны, с другой стороны, песочница каждого приложения более строгая, и такие «ярлыки» между приложениями и локальным трафиком невозможно.
Благодаря этому техническому трюку Мета удалось Соотношение идентификации пользователя, аутентифицированного в Facebook или Instagram с его деятельностью в браузерев том числе в режиме инкогнито. Это означает, что простой анонимный просмотр на сайте, который включал Meta Pixel, больше не был действительно анонимным, если приложение Facebook или Instagram было активным на одном телефоне.
Систематическое нарушение близости в Интернете
Согласно расследованию, Meta, таким образом, собрала данные о трафике без согласия пользователей на рыбе 75% из самых посещенных 100 000 участков в миреПолем Воздействие является значительным, при условии, что этот вид преследования не может быть предотвращена обычными средствами, такими как использование частного режима/инкогнито или блокирование файлов cookie.
Это тактика, которая прошла намного дальше, чем простое поведенческое отслеживание, которое Meta практиковала с помощью таких инструментов, как Pixel Facebook. В этом случае мы говорим о проникновение местной телефонной инфраструктуры и Связь между приложениями, которые не были авторизованы или видимым пользователюкоторый поднимает серьезные вопросы безопасности и соблюдает правила защиты данных.
Реакция Google и предыдущий яндекс
Как реакция на это открытие, Google объявил, что подробно исследует Этот метод и пообещал запустить некоторые Обновления для браузера Chrome на Android который навсегда заблокирует такую тактику. Ожидается, что будущие версии браузера ограничат или изолируют доступ к Localhost и трафику между приложениями и Интернетом.
Беспоковая, Meta — не единственная компания, которая прибегала к такой практике. Яндексрусский онлайн -гигант, был также идентифицирован с аналогичным технологическим методом с таким же результатом: Следуя пользователям за пределами ограничений, предполагаемых браузеромПолем
Этот эпизод возвращает на передний план дискуссию о Необходимость более строгого контроля над тем, как мобильные приложения взаимодействуют с остальной частью цифровой экосистемыПолем Даже если технология развивается, нормы этики, прозрачности и согласия не должны быть необязательными — даже для крупнейших игроков в отрасли. И когда эти игроки выходят за рамки принятых пределов, последствия не должны быть отложены.
