6 月 4 日消息，科技媒體 Ars Technica 昨日（6 月 3 日）發布博文，報道稱 Meta 和 Yandex 通過在數百萬網站中嵌入追蹤代碼（如 Meta Pixel 和 Yandex Metrica），濫用互聯網協議，繞過安卓系統和瀏覽器的隱私保護，追蹤安卓用戶。

IT之家援引博文介紹，Meta 通過在全球約 580 萬個網站中嵌入 Meta Pixel，俄羅斯搜索巨頭 Yandex 在約 300 萬個網站中嵌入 Yandex Metrica 追蹤器，濫用現代移動瀏覽器的基本功能，突破安卓系統的“沙箱”隔離機制。

研究人員指出，安卓沙箱本應阻止應用與操作系統或其他應用交互，保護敏感數據。然而，Meta 和 Yandex 通過瀏覽器與原生應用（如 Facebook、Instagram 和 Yandex 應用）之間的本地端口通信，將網頁瀏覽數據關聯用戶真實身份，徹底破壞匿名性。

研究者 Narseo Vallina-Rodriguez 強調，這種攻擊打破了移動端與網頁端的安全界限。Yandex 自 2017 年、Meta 自 2024 年 9 月開始實施這一繞過機制。

研究者表示這種濫用機制比較復雜，利用瀏覽器向 Android 本地端口（如 127.0.0.1）發送請求的功能，將追蹤標識符（如_fbp cookie）傳輸至監聽端口的原生應用。

Meta Pixel 甚至采用 WebRTC 和 SDP munging 等復雜技術，將數據嵌入協議字段中，避開常規防御。

相比之下，iOS 對本地通信控制更嚴格，而 Android 的寬松設計和后臺執行機制為這種濫用提供了可乘之機。谷歌代表稱此行為違反 Play 商店服務條款和用戶隱私預期，已采取措施并展開調查。

研究人員警告，當前修復措施針對性強，若追蹤者更換端口或方法，防御可能失效，亟需從平臺層面限制本地端口訪問。

【來源：IT之家】