Meta и Яндекс обе деанонимизировали идентификаторы частного веб-серфинга пользователей Android, которые, как предполагалось, были защищены песочницей

Исследователи обнаружили метод, используемый Meta и Яндексом, для деанонимизации пользователей Android при просмотре веб-страниц на миллионах сайтов. Нативные приложения Android получают метаданные браузера, куки и команды от скриптов Meta Pixel и Яндекс.Метрики, внедрённых на тысячи веб-сайтов. Эти скрипты загружаются в мобильные браузеры пользователей и незаметно подключаются к нативным приложениям, работающим на том же устройстве, через сокеты localhost. Этот метод позволяет связать сессии мобильного просмотра и веб-куки с идентификаторами пользователей, эффективно деанонимизируя посещаемые ими сайты, содержащие эти скрипты. Этот метод обмена идентификаторами между веб-сайтом и приложением обходит стандартные средства защиты конфиденциальности, такие как очистка куки, режим инкогнито и средства контроля разрешений Android. Весь процесс передачи _fbp cookie из веб-браузера в нативное приложение и на сервер включает в себя открытие пользователем нативного приложения Facebook или Instagram, которое создаёт фоновый сервис для прослушивания входящего трафика на TCP и UDP портах. Скрипт Meta Pixel отправляет _fbp cookie в нативное приложение Instagram или Facebook через WebRTC, а приложение передаёт _fbp как GraphQL-мутацию в граф Facebook вместе с другими постоянными идентификаторами пользователя, связывая fbp ID пользователя с его учётной записью Facebook или Instagram. В тот же день, когда исследователи опубликовали этот отчёт, Meta прекратила использовать этот метод. Эта сложная схема существует только для того, чтобы обойти функции Android, предназначенные для предотвращения отслеживания пользователей нативными приложениями во время использования веб-браузера. Этот метод считается формой кражи, даже если он не нарушает никаких законов.