6 月 4 日消息，科技媒體 Ars Technica 昨日（6 月 3 日）發(fā)布博文，報(bào)道稱 Meta 和 Yandex 通過(guò)在數(shù)百萬(wàn)網(wǎng)站中嵌入追蹤代碼（如 Meta Pixel 和 Yandex Metrica），濫用互聯(lián)網(wǎng)協(xié)議，繞過(guò)安卓系統(tǒng)和瀏覽器的隱私保護(hù)，追蹤安卓用戶。

IT之家援引博文介紹，Meta 通過(guò)在全球約 580 萬(wàn)個(gè)網(wǎng)站中嵌入 Meta Pixel，俄羅斯搜索巨頭 Yandex 在約 300 萬(wàn)個(gè)網(wǎng)站中嵌入 Yandex Metrica 追蹤器，濫用現(xiàn)代移動(dòng)瀏覽器的基本功能，突破安卓系統(tǒng)的“沙箱”隔離機(jī)制。

研究人員指出，安卓沙箱本應(yīng)阻止應(yīng)用與操作系統(tǒng)或其他應(yīng)用交互，保護(hù)敏感數(shù)據(jù)。然而，Meta 和 Yandex 通過(guò)瀏覽器與原生應(yīng)用（如 Facebook、Instagram 和 Yandex 應(yīng)用）之間的本地端口通信，將網(wǎng)頁(yè)瀏覽數(shù)據(jù)關(guān)聯(lián)用戶真實(shí)身份，徹底破壞匿名性。

研究者 Narseo Vallina-Rodriguez 強(qiáng)調(diào)，這種攻擊打破了移動(dòng)端與網(wǎng)頁(yè)端的安全界限。Yandex 自 2017 年、Meta 自 2024 年 9 月開始實(shí)施這一繞過(guò)機(jī)制。

研究者表示這種濫用機(jī)制比較復(fù)雜，利用瀏覽器向 Android 本地端口（如 127.0.0.1）發(fā)送請(qǐng)求的功能，將追蹤標(biāo)識(shí)符（如_fbp cookie）傳輸至監(jiān)聽端口的原生應(yīng)用。

Meta Pixel 甚至采用 WebRTC 和 SDP munging 等復(fù)雜技術(shù)，將數(shù)據(jù)嵌入?yún)f(xié)議字段中，避開常規(guī)防御。

相比之下，iOS 對(duì)本地通信控制更嚴(yán)格，而 Android 的寬松設(shè)計(jì)和后臺(tái)執(zhí)行機(jī)制為這種濫用提供了可乘之機(jī)。谷歌代表稱此行為違反 Play 商店服務(wù)條款和用戶隱私預(yù)期，已采取措施并展開調(diào)查。

研究人員警告，當(dāng)前修復(fù)措施針對(duì)性強(qiáng)，若追蹤者更換端口或方法，防御可能失效，亟需從平臺(tái)層面限制本地端口訪問。

【來(lái)源：IT之家】