Ivan Mančić
Najnovije otkriće tima istraživača iz IMDEA Networks i univerziteta u Radboudu i KU Leuven pokazuje da su kompanije Meta i Yandex pronašle način da zaobiđu sigurnosne i privatnosne barijere Android operativnog sistema i mobilnih pregledača kako bi povezale identitete korisnika mobilnih aplikacija sa njihovim navikama surfovanja na internetu.
Istraživanje otkriva da skripte za praćenje, Meta Pixel i Yandex Metrica, koje su ugrađene u milione web sajtova, koriste zaobilazne tehnike koje omogućavaju web stranicama da putem mobilnog pregledača komuniciraju sa nativnim aplikacijama (kao što su Facebook, Instagram ili Yandex), povezujući pritom pseudonimne identifikatore iz pregledača sa stvarnim korisničkim nalozima.
Kako funkcioniše šema
Ove skripte koriste lokalne mrežne portove na Android uređajima (npr. 12387, 12580–12585) za komunikaciju između pregledača i aplikacija. Kada korisnik otvori web sajt sa Meta Pixel-om, taj sajt putem JavaScript-a šalje identifikatore (npr. _fbp cookie) natrag ka aplikaciji kao što je Facebook, čak i kada je u pozadini. Tako se korisnik koji je mislio da privatno pretražuje sajt – zapravo identifikuje.
Tehnike koje se koriste uključuju:
- WebRTC SDP munging – metoda kojom se podaci umeću u sesione zahteve
- TURN/STUN protokoli – koji omogućavaju slanje identifikatora aplikaciji
- Zloupotreba lokalnih portova – što nije regulisano Android platformom
Meta je, prema podacima istraživača, počela da koristi ovu tehniku od septembra 2023, dok je Yandex ovu praksu sprovodio još od 2017. godine.
Zloupotreba sandbox modela i ignorisanje privatnosti
Ova praksa narušava fundamentalni koncept sandboxinga – sigurnosnog modela koji sprečava interakciju između aplikacija i web sadržaja. Google je potvrdio da je ponašanje Meta i Yandex skripti u suprotnosti sa pravilima Play prodavnice i da se vodi istraga. I Mozilla i drugi proizvođači pregledača (DuckDuckGo, Brave) takođe su reagovali blokadom pristupa.
Meta je izjavila da je “pauzirala” funkcionalnost dok se ne usaglasi sa Googleom, dok je Yandex poručio da “strogo poštuje standarde zaštite podataka” i da prekida ovu praksu.
Koji su uređaji pogođeni?
Iako su tehnički aspekti takvi da bi i iOS mogao biti meta, istraživanje navodi da je trenutno isključivo Android pogođen ovom praksom – i to najviše kroz Chrome i druge Chromium-bazirane pregledače, dok Firefox, iako takođe kompromitovan, nije uspeo u potpunosti da realizuje određene metode slanja identifikatora.
Kako se zaštititi?
Najefikasnija zaštita trenutno je neinstaliranje Facebook, Instagram i Yandex aplikacija na Android uređaju. Takođe, korišćenje pregledača sa ugrađenim zaštitama (kao što su DuckDuckGo i Brave) može znatno smanjiti rizik. Međutim, istraživači upozoravaju da je ovaj pristup privremen, jer se trackeri lako prilagođavaju i menjaju metode, zbog čega su potrebne sistemske promene u načinu na koji Android i pregledači upravljaju lokalnim portovima.
Šta kaže zakon?
Nema potvrde da li ova vrsta praćenja krši zakon, ali Meta se već suočila sa brojnim tužbama zbog nepravilnog prikupljanja podataka putem Pixel skripti. Prema istraživanju iz 2023. godine, Facebook Pixel (sada Meta Pixel) prati korisnike na sajtovima iz osetljivih kategorija – potencijalno kršeći GDPR regulative.
Otkriće o tome kako Meta i Yandex de-anonimizuju korisnike otvara ozbiljna pitanja o poverenju u tehnološke gigante, ali i o nedovoljno zaštićenim aspektima Android platforme. Dok kompanije pokušavaju da umanje ozbiljnost situacije, stručnjaci upozoravaju: ovo je samo jedan primer koliko su današnje digitalne prakse daleko od transparentnosti i koliko su korisnici izloženi riziku bez svog znanja, piše Ars Technica.
Nema komentara 😞
Trenutno nema komentara vezanih za ovu vest. Priključi se diskusiji na Benchmark forumu i budi prvi koje će ostaviti komentar na ovaj članak!
Pridruži se diskusiji