Meta et Yandex ont toutes deux désanonymisé les identifiants de navigation web privée, censés être mis en sandbox, des utilisateurs Android

Des chercheurs ont découvert une méthode utilisée par Meta et Yandex pour désanonymiser la navigation web des utilisateurs Android sur des millions de sites web. Les applications Android natives reçoivent les métadonnées, les cookies et les commandes des navigateurs provenant des scripts Meta Pixel et Yandex Metrica intégrés sur des milliers de sites web. Ces scripts se chargent sur les navigateurs mobiles des utilisateurs et se connectent silencieusement aux applications natives exécutées sur le même appareil via des sockets localhost. Cette méthode leur permet de lier les sessions de navigation mobile et les cookies web aux identités des utilisateurs, désanonymisant ainsi efficacement les utilisateurs qui visitent les sites intégrant leurs scripts. Cette méthode de partage d'identifiants web-vers-application contourne les protections de la vie privée habituelles telles que la suppression des cookies, le mode Incognito et les contrôles d'autorisation d'Android. L'ensemble du flux du cookie _fbp du web vers le natif et vers le serveur implique que l'utilisateur ouvre l'application native Facebook ou Instagram, ce qui crée un service d'arrière-plan pour écouter le trafic entrant sur un port TCP et un port UDP. Le script Meta Pixel envoie le cookie _fbp à l'application native Instagram ou Facebook via WebRTC, et l'application transmet le _fbp sous forme de mutation GraphQL au graphique de Facebook, ainsi que d'autres identifiants utilisateur persistants, reliant l'identifiant fbp des utilisateurs à leur compte Facebook ou Instagram. Le jour même où les chercheurs ont publié ce rapport, Meta a cessé de le faire. Ce stratagème élaboré existe uniquement pour contourner les fonctionnalités d'Android destinées à empêcher les applications natives de suivre les utilisateurs lorsqu'ils utilisent leur navigateur web. Cette méthode est considérée comme une forme de vol, même si elle n'enfreint aucune loi.