Meta та Yandex викрили у спробах деанонімізувати користувачів Android

Дослідники встановили, що трекери Meta Pixel та Yandex Metrica використовували особливі методи для з’єднання анонімної історії вебперегляду з реальними акаунтами користувачів Android.

Механізм працював так: коли людина відкривала сайт зі встановленим лічильником, JavaScript-код надсилав cookie та інші ідентифікатори не лише на сервери компаній, а й у локальні порти додатків Facebook, Instagram чи Яндекса, що постійно їх прослуховували. У результаті браузерна активність пов’язувалася з конкретним профілем.

Meta почала застосовувати цей підхід у вересні минулого року, постійно змінюючи технічні прийоми — від HTTP-запитів до використання WebRTC. Яндекс вдавався до подібних методів ще з 2017 року. Це прямо суперечить базовим принципам безпеки Android: ізоляції процесів та поділу даних між застосунками.

Користувачі не могли захиститися звичайними способами: режим інкогніто, видалення куків чи VPN не давали жодного ефекту. Google заявив, що такі практики порушують правила Play Store і принципи конфіденційності Android, та вже впровадив технічні обмеження. У Meta оголосили про призупинення функції «до вирішення питань з Google», а Яндекс повідомив про відмову від неї.

Частина браузерів вже блокує подібні трекери: це DuckDuckGo, Brave та частково Vivaldi. У Chrome у тестових збірках з’явилися захисні механізми проти SDP munging, хоча Meta швидко знаходила обхідні шляхи. Користувачам також радять встановлювати розширення uBlock Origin, де є спеціальний фільтр для блокування локальних з’єднань.

Джерело: https://arstechnica.com/security/2025/06/meta-and-yandex-are-de-anonymizing-android-users-web-browsing-identifiers/