当前位置: 首页 » 资讯 » 新零售 » 正文

Meta和Yandex被指滥用协议:在数百万网站植入代码追踪安卓用户

IP属地 江苏南通 编辑:杨凌霄 IT之家 时间:2025-06-04 10:02:13

6 月 4 日消息,科技媒体 Ars Technica 昨日(6 月 3 日)发布博文,报道称 meta 和 Yandex 通过在数百万网站中嵌入追踪代码(如 meta Pixel 和 Yandex Metrica),滥用互联网协议,绕过安卓系统和浏览器的隐私保护,追踪安卓用户。

援引博文介绍,meta 通过在全球约 580 万个网站中嵌入 meta Pixel,俄罗斯搜索巨头 Yandex 在约 300 万个网站中嵌入 Yandex Metrica 追踪器,滥用现代移动浏览器的基本功能,突破安卓系统的“沙箱”隔离机制。

研究人员指出,安卓沙箱本应阻止应用与操作系统或其他应用交互,保护敏感数据。然而,meta 和 Yandex 通过浏览器与原生应用(如 Facebook、Instagram 和 Yandex 应用)之间的本地端口通信,将网页浏览数据关联用户真实身份,彻底破坏匿名性。

研究者 Narseo Vallina-Rodriguez 强调,这种攻击打破了移动端与网页端的安全界限。Yandex 自 2017 年、meta 自 2024 年 9 月开始实施这一绕过机制。

研究者表示这种滥用机制比较复杂,利用浏览器向 Android 本地端口(如 127.0.0.1)发送请求的功能,将追踪标识符(如_fbp cookie)传输至监听端口的原生应用。

meta Pixel 甚至采用 WebRTC 和 SDP munging 等复杂技术,将数据嵌入协议字段中,避开常规防御。

相比之下,iOS 对本地通信控制更严格,而 Android 的宽松设计和后台执行机制为这种滥用提供了可乘之机。谷歌代表称此行为违反 Play 商店服务条款和用户隐私预期,已采取措施并展开调查。

研究人员警告,当前修复措施针对性强,若追踪者更换端口或方法,防御可能失效,亟需从平台层面限制本地端口访问。

免责声明:本网信息来自于互联网,目的在于传递更多信息,并不代表本网赞同其观点。其内容真实性、完整性不作任何保证或承诺。如若本网有任何内容侵犯您的权益,请及时联系我们,本站将会在24小时内处理完毕。