Egy kutatócsapat részletes tanulmányt közölt arról, hogy az amerikai Meta és az orosz Yandex nyomkövető kódjaikkal jelentős mennyiségű személyes felhasználói adatot gyűjtöttek be éveken keresztül jogtalanul.
A két vállalat androidos telefonokon működő alkalmazásaikban gyűjtött böngészési adataikat összekapcsolták a felhasználók személyazonosságaival, megkerülve ezzel a szokásos internetes adatvédelmi sztenderdeket. A The Register közlése szerint az esetet követően néhány órával a kutatók arra figyeltek fel, hogy a biztonsági problémát okozó követőkódok eltűntek, tehát a Meta és a Yandex bezárta a biztonsági rést a visszaélés nyilvánosságra kerülése után.
A holland Radboud Egyetem és a madridi IMDEA kutatói a GitHub-on tették közzé eredményeiket, amelyekben megállapították, hogy a Meta és a Yandex natív Android alkalmazásai rejtett localhost portokat használtak fel arra, hogy
a webes böngészési adatokat összekapcsolják a felhasználók személyazonosságával, ezzel kijátszva a tipikus adatvédelmi védelmi mechanizmusokat.
A kutatók szerint olyan natív Android alkalmazások, mint a Facebook, az Instagram, valamint a Yandex Maps és Browser, előre meghatározott helyi portokat figyeltek meg a feéhasználók követésének céljából. Ezek az alkalmazások a Meta Pixel és Yandex Metrica szkriptektől kaptak böngészői metaadatokat, cookie-kat és parancsokat, amelyek több ezer weboldalba vannak beágyazva.
Mivel ezek a natív alkalmazások hozzáférnek olyan eszközazonosítókhoz, mint az Android Hirdetési Azonosító és a felhasználói azonosítókat a Meta alkalmazásokban,
képesek összekapcsolni a mobil böngészési munkameneteket és webes cookie-kat a felhasználói identitásokkal.
A technika lényegében megkerüli az olyan általános adatvédelmi biztosítékokat, mint a cookie-k törlése, az inkognitó mód és az Android alkalmazásengedélyezési rendszere. A módszer sérti az első féltől származó cookie-k hatókörével kapcsolatos feltételezéseket is, amelyek elvileg nem követhetnék a böngészési tevékenységet különböző webhelyek között.
A tegnapi leleplezést követően a The Register megírta, hogy a kutatók megfigyelései szerint a Meta Pixelből - a vállalat biztonságos adatgyűjtést lehetővé tevő nyomkövető kódjából - eltűnt a felhasználókat és a böngészési adataikat összekapcsoló szkript.
A lap szerint ez a lépés segíthet a Metának elkerülni a Google Play szabályzatának megsértését, amely tiltja a hasonló, rejtett adatgyűjtést az androidos alkalmazásokban.
Egyeztetéseket folytatunk a Google-lal, hogy tisztázzunk egy esetleges félreértést a szabályzatuk alkalmazásával kapcsolatban
- nyilatkozta a Meta szóvivője, aki azt is elmondta, hogy amint tudomást szereztek az aggályokról, felfüggesztették a funkciót.
A kutatók szerint a Meta 2024 szeptemberében kezdte el alkalmazni ezt a tiltott adatgyűjtési technikát, HTTP-n keresztül továbbítva az adatokat. Jelenleg azonban úgy tűnik, hogy a Meta felfüggesztette ezeknek a technikáknak a használatát. Az oroszországi Yandex localhost-alapú követése a kutatók szerint még régebbre, egészen 2017-ig nyúlik vissza. (Portfolio)
