MetaとYandexのローカルメスの脆弱性は、Androidでのみ有効なようだ

研究者たちは、Meta PixelとYandex MetricaがAndroidユーザーのウェブ閲覧習慣を、プライベートブラウジングモードでさえ追跡できるプライバシーの脆弱性「Local Mess」を発見しました。この脆弱性は、アプリがローカルポートを監視し、仮名化されたウェブIDと実際のユーザーIDを結びつけることを許可する、プラットフォームの寛容な設計を悪用しています。研究者たちは、技術的にはiOSユーザーも標的にすることが可能だと考えていますが、これまでのところ、iOSでの悪用は確認されていません。Androidは、ローカルホスト通信とモバイルアプリのバックグラウンド実行に対する制御が不足しているため、このような悪用に対して脆弱です。対照的に、iOSはより厳格なApp Storeの審査と、ローカルホスト通信に対するより多くの制御を課しています。Meta PixelとYandex Metricaは、広告主がキャンペーンの効果を測定するのに役立つように設計された分析スクリプトであり、それぞれ580万と300万のサイトにインストールされていると推定されています。これらのトラッキングスクリプトを含むすべてのサイトは、数億人のAndroidユーザーのウェブ閲覧プライバシーの侵害に加担しています。欧州委員会は、iOSに対し、サードパーティ製アプリがバックグラウンドで自由に実行できるようにすることを要求しており、これによりiOSも同様のプライバシー脆弱性にさらされる可能性があります。Appleは、Metaの相互運用性に対する要求がユーザーのプライバシーとセキュリティを損なう可能性があるという懸念を表明しています。