メタとヤンドックスはどちらも、一見サンドボックス化されたAndroidユーザーのプライベートウェブブラウジング識別子を匿名化解除していました。

メタとYandexが、数百万ものウェブサイトにわたるAndroidユーザーのウェブ閲覧履歴の匿名性を解除するために使用していた手法を研究者らが発見しました。ネイティブのAndroidアプリは、数千ものウェブサイトに埋め込まれたMeta PixelとYandex Metricaのスクリプトから、ブラウザのメタデータ、クッキー、コマンドを受信します。これらのスクリプトはユーザーのモバイルブラウザに読み込まれ、同じデバイス上で動作するネイティブアプリとlocalhostソケットを介して静かに接続します。この手法により、モバイルブラウジングセッションとウェブクッキーをユーザーIDに関連付けることができ、スクリプトが埋め込まれたサイトを閲覧しているユーザーの匿名性を効果的に解除します。このウェブからアプリへのID共有手法は、クッキーの削除、シークレットモード、Androidのパーミッション制御などの一般的なプライバシー保護策を回避します。ウェブからネイティブアプリ、そしてサーバーへの_fbpクッキーの全フローには、ユーザーがネイティブのFacebookアプリまたはInstagramアプリを開き、着信トラフィックをTCPポートとUDPポートで受信するバックグラウンドサービスを作成することが含まれます。Meta Pixelスクリプトは_fbpクッキーをWebRTCを介してネイティブのInstagramアプリまたはFacebookアプリに送信し、アプリは他の永続的なユーザー識別子と共に_fbpをGraphQLミューテーションとしてFacebookのグラフに送信し、ユーザーのfbp IDをFacebookまたはInstagramアカウントにリンクします。研究者らがこのレポートを発表した同日、メタはこの行為を停止しました。この複雑なスキームは、ネイティブアプリがユーザーのウェブブラウザ使用中にユーザーを追跡することを防ぐAndroidの機能を回避するためだけに存在します。この手法は、法律に違反していなくても、一種の窃盗とみなされます。