메타와 얀덱스 모두 겉으로는 샌드박스 처리된 안드로이드 사용자들의 개인 웹 브라우징 식별자를 익명화 해제하고 있었습니다.

연구자들이 메타(Meta)와 얀덱스(Yandex)가 수백만 개의 웹사이트에 걸쳐 안드로이드 사용자의 웹 브라우징 활동을 익명 해제하는 데 사용하는 방법을 발견했습니다. 안드로이드 앱은 수천 개의 웹사이트에 내장된 메타 픽셀(Meta Pixel) 및 얀덱스 메트리카(Yandex Metrica) 스크립트로부터 브라우저 메타데이터, 쿠키 및 명령을 받습니다. 이러한 스크립트는 사용자 모바일 브라우저에 로드되어 로컬호스트 소켓을 통해 동일한 기기에서 실행되는 앱과 자동으로 연결됩니다. 이 방법을 통해 모바일 브라우징 세션과 웹 쿠키를 사용자 식별 정보에 연결하여 스크립트를 내장한 사이트 방문 사용자를 효과적으로 익명 해제할 수 있습니다. 이 웹-앱 ID 공유 방식은 쿠키 삭제, 시크릿 모드, 안드로이드 권한 제어와 같은 일반적인 개인 정보 보호 기능을 우회합니다. 웹에서 앱으로, 서버로 이어지는 _fbp 쿠키의 전체 흐름은 사용자가 페이스북 또는 인스타그램 앱을 열면 TCP 포트와 UDP 포트에서 들어오는 트래픽을 수신하는 백그라운드 서비스가 생성되는 방식으로 이루어집니다. 메타 픽셀 스크립트는 WebRTC를 통해 _fbp 쿠키를 페이스북 또는 인스타그램 앱으로 보내고, 앱은 사용자의 fbp ID를 페이스북 또는 인스타그램 계정에 연결하여 다른 지속적인 사용자 식별자와 함께 _fbp를 GraphQL 뮤테이션으로 페이스북 그래프에 전송합니다. 연구자들의 보고서가 발표된 당일, 메타는 이 행위를 중단했습니다. 이 정교한 방식은 안드로이드 앱이 웹 브라우저를 사용하는 동안 사용자를 추적하는 것을 방지하기 위한 기능을 우회하기 위해 고안되었습니다. 이 방법은 법을 위반하지 않더라도 일종의 절도로 간주됩니다.