Odkryli, że Facebook grzebał w twojej przeglądarce. I nie tylko on
Narzędzia analityczne Meta i Yandex wykorzystywały luki w Androidzie, by śledzić historię przeglądania użytkowników. Hiszpańscy badacze ujawnili wieloletni proceder odbywający się za plecami użytkowników.
Meta - właściciel Facebooka i Instagrama - oraz rosyjski gigant technologiczny Yandex przez długi czas potajemnie śledziły aktywność użytkowników smartfonów z systemem Android. Tak wynika z najnowszego raportu międzynarodowego zespołu badaczy działających w ramach hiszpańskiej sieci instytutów badawczych IMDEA zajmującego się analizą prywatności w Internecie. Techniki, które zastosowano, pozwalały firmom na powiązanie przeglądanych stron internetowych z konkretnymi kontami użytkowników. Nawet wtedy, gdy korzystali oni z trybu prywatnego w przeglądarce.
Facebook i Instagram namiętnie podglądały historię twojej przeglądarki
Zgodnie z ustaleniami badaczy z IMDEA Networks (Hiszpania), Radboud University (Holandia) i KU Leuven (Belgia), Meta i Yandex wykorzystywały tzw. połączenia lokalne (localhost) do komunikacji między aplikacjami a przeglądarką internetową.
W dużym uproszczeniu, aplikacje instalowane na telefonie z systemem Android - m.in. Facebook, Instagram czy Yandex Browser - uruchamiały lokalne, działających wewnętrz aplikacji serwery, które obserwowały ich aktywność na wybranych kanałach w telefonie. Takim kanałem była choćby historia przeglądarki internetowej.
Gdy użytkownik odwiedzał stronę zawierającą popularne narzędzia analityczne, takie jak Meta Pixel czy Yandex Metrica, niewidoczny dla użytkownika kod JavaScript wysyłał zapytania do tych serwerów działających w tle. W ten sposób aplikacje mogły poznać, jakie strony odwiedza użytkownik, a następnie powiązać te dane z jego kontem - a to pomimo teoretycznych ograniczeń systemu Android, które mają zapobiegać takim sytuacjom.
Yandex korzystał z tej metody już od 2017 roku. Meta - według badaczy - zaczęła ją stosować we wrześniu 2024 r. Oba mechanizmy działały wyłącznie na urządzeniach z Androidem, obchodząc standardowe zabezpieczenia systemu oraz przeglądarek, takie jak tryb incognito czy brak zgody na śledzenie.
Jak podkreślają naukowcy, praktyka ta była możliwa, ponieważ system Android pozwala aplikacjom korzystającym z internetu na otwieranie lokalnych portów, przez które mogą odbierać informacje z innych aplikacji lub przeglądarki - bez wiedzy użytkownika i bez wyraźnego pytania o zgodę.
Meta i Yandex namiętnie nadużywały zaufania i luk w oprogramowaniu
Zarówno Meta Pixel, jak i Yandex Metrica są powszechnie stosowane na milionach stron internetowych. Według szacunków badaczy Meta Pixel działa na ponad 5,8 miliona stron. Ich kod jest instalowany przez właścicieli witryn, często w celach analitycznych. Jednak - jak się okazuje - pozwalał również na wykradanie informacji i zdalne przekazywanie ich na serwery firm.
W praktyce oznacza to, że nawet jeśli użytkownik nie zalogował się do Facebooka w przeglądarce, aplikacja Facebooka zainstalowana na telefonie mogła przechwycić informacje o odwiedzanych witrynach i powiązać je z jego kontem. Z kolei aplikacje Yandexa, takie jak Maps, Navi czy Yandex Search, stosowały bardziej dyskretną metodę: włączając śledzenie dopiero po kilku dniach od instalacji i dynamicznie zmieniając porty komunikacyjne, co utrudniało wykrycie działania.
Co istotne, nie ma dowodów na to, że Meta czy Yandex poinformowały o tej funkcjonalności właścicieli stron internetowych korzystających z ich narzędzi śledzących. Wielu z nich było zaskoczonych, gdy zorientowali się, że ich witryny uczestniczą w cichym przekazywaniu danych użytkowników do aplikacji mobilnych.
Jak informuje serwis Ars Technica, po ujawnieniu procederu, przedstawiciele Google i Mozilli potwierdzili, że analizują możliwe naruszenia regulaminów przez Metę i Yandex. Z kolei twórcy przeglądarki DuckDuckGo oraz zespół rozwijający Chrome’a już zaczęli wdrażać poprawki mające uniemożliwić podobne nadużycia w przyszłości.
Meta nie zabrała głosu w sprawie, podczas gdy rzecznik Yandex rozesłał mediom piszącym o sprawie komunikat o podjętych działaniach.
Yandex ściśle przestrzega standardów ochrony danych i nie ujawnia danych użytkowników. Funkcja, o której mowa, nie gromadzi żadnych wrażliwych informacji i ma na celu wyłącznie poprawę personalizacji w naszych aplikacjach. Po przeanalizowaniu zgłoszonych obaw zdecydowaliśmy się zaprzestać jej stosowania i jesteśmy w trakcie usuwania tej funkcji z naszych aplikacji. Jesteśmy również w kontakcie z Google, aby zapewnić pełną zgodność z zasadami obowiązującymi w ich sklepie z aplikacjami.
Korzystanie z aplikacji Facebooka i Instagrama - czy jest bezpieczne?
Według badaczy, komunikacja między stronami internetowymi a aplikacjami Mety za pośrednictwem lokalnych portów została przerwana niemal natychmiast po publikacji wyników śledztwa, a fragmenty kodu odpowiedzialne za śledzenie usunięte. Niemniej jednak, ze względu na brak oficjalnych oświadczeń ze strony Meta oraz możliwość ponownego wdrożenia podobnych mechanizmów w przyszłości, nie można całkowicie wykluczyć dalszych prób obchodzenia zabezpieczeń.
Użytkownicy, którzy chcą mieć większą kontrolę nad swoją prywatnością, mogą rozważyć odinstalowanie aplikacji Meta z urządzeń mobilnych lub korzystanie z ich wersji przeglądarkowych w trybie prywatnym. Dodatkowo warto zainstalować przeglądarki, które wdrażają już poprawki - takie jak DuckDuckGo - oraz regularnie aktualizować system i aplikacje, aby mieć pewność, że zawierają one najnowsze zabezpieczenia.
Co ważne, luka istniała jedynie w systemie Android - użytkownicy aplikacji na wszystkich innych systemach nie byli śledzeni. Przynajmniej nie w ten sposób.
Więcej na temat Mety:
