Meta 与 Yandex 被曝使用去匿名化的追踪技术

安全研究人员揭露了Meta和Yandex使用的新型追踪技术，该技术能在数十亿安卓用户浏览网页时有效去匿名化，即使用户开启无痕模式也无效。根据西班牙IMDEA Networks研究所、荷兰拉德堡德大学及比利时鲁汶大学联合报告，当安卓用户浏览网页时，Yandex（俄罗斯主要科技公司）和Meta的应用程序会在后台通过本地端口通信秘密监听网站数据。

这种技术绕过了安卓系统与浏览器的沙盒防护及其他安全措施。研究发现：“包括Facebook、Instagram以及Yandex地图、浏览器在内的多款应用，会为追踪目的在固定本地端口静默监听”。其运作原理如下：

1. 网站脚本与应用的隐蔽通道：全球数百万网站嵌入了Meta Pixel或Yandex Metrica脚本。当用户访问这些网站时，脚本会通过本地回环接口（localhost）向对应应用发送数据，将浏览行为与实际用户关联。
2. 规避隐私保护机制：该方法无视清除Cookie、无痕模式等常规隐私防护，甚至突破安卓权限控制。更严重的是，它为恶意软件窃取用户网页活动数据敞开大门。

具体技术细节显示：

1. 端口监听机制：Meta Pixel通过WebRTC向UDP端口12580-12585传输Cookie，任何监听这些端口的应用均可接收；Yandex自2017年起使用端口29009、29010、30102和30103进行类似操作。
2. 数据隐藏手段：Meta采用“SDP Minging”技术将含用户数据的Cookie隐藏在互联网技术消息中，规避检测工具分析。
3. 波及范围：Meta Pixel嵌入超过580万个网站，Yandex Metrica覆盖近300万站点。

恶意软件可利用漏洞：

1. 所有监听相同端口的应用均可截获网页追踪脚本与应用间的通信。实验证明Chrome、Firefox、Edge等主流浏览器均存在浏览历史泄露风险。
2. 仅Brave浏览器因拦截本地请求而免疫此问题，DuckDuckGo因屏蔽列表缺失部分域名受轻微影响。

跨平台风险与厂商响应：

1. iOS潜在威胁：虽然WebKit支持本地连接且应用可监听端口，但苹果对后台应用的严格限制可能阻止了该技术在iOS的部署。
2. Meta已停止行为：截至6月3日，Meta Pixel脚本已停止向本地端口发送数据，相关代码几乎被完全移除。
3. 修复进展：主流安卓浏览器厂商已着手部署补丁，但研究人员警告需更全面的措施才能彻底解决问题。

两家公司均未在官方文档中披露此追踪机制，致使网站运营者与用户长期处于不知情状态。值得注意的是，这些追踪脚本甚至在用户看到Cookie同意弹窗前就已加载运行。

消息来源： cybernews；

本文由 HackerNews.cc 翻译整理，封面来源于网络；