獨立研究人員近期揭發,Meta 及 Yandex 等科企的手機應用程式涉嫌濫用Android系統漏洞,秘密追蹤用戶的網頁瀏覽記錄,即使在無痕模式下亦未能倖免。事件引發業界對個人私隱保障的廣泛關注,促使 Google 和 Firefox 等瀏覽器開發商介入調查,並啟動應對措施。Meta緊急停止相關行為。
即刻【按此】,用 App 睇更多產品開箱影片
智能手機應用程式被揭發濫用系統漏洞追蹤用戶瀏覽記錄
近日,獨立研究人員披露了令人不安的發現,科技巨頭 Meta 及俄羅斯搜尋引擎公司 Yandex 旗下的手機應用程式,被指利用Android系統的保安漏洞,繞過原有的私隱保護措施,暗中追蹤用戶的網頁瀏覽記錄。此舉嚴重挑戰了用戶對流動裝置私隱保護的預期,即使在無痕模式下,敏感瀏覽數據亦可能被收集。
根據研究報告,Android系統的沙盒(sandboxing)機制旨在隔離應用程式,防止它們未經授權地共享敏感識別碼。然而,Meta 和 Yandex 的追蹤器程式碼被發現利用本機連線(localhost connections)的漏洞,在未獲用戶同意的情況下,將cookie數據傳送至應用程式。此舉引發 Google 和 Firefox 兩大瀏覽器開發商的高度關注,並已表明正調查這些潛在的違規行為。Google 的代表更明確指出,相關行為違反了其Play應用程式商店的服務條款及Android用戶對於私隱保護的預期。
私隱漏洞揭示:本機連線遭 Meta 及 Yandex 濫用
這種追蹤手法巧妙地利用了本機連線的不安全特性。本機連線是裝置內部的通訊方式,負責管理應用程式與操作系統之間的互動。研究人員指出,此漏洞允許應用程式在沙盒限制下,仍能互相傳輸cookie,而由於Android系統對本機連線埠的通訊並無權限要求,相關的秘密追蹤行為得以長期隱藏。Meta 的追蹤主要涉及其分析工具 Meta Pixel,該工具被廣泛應用於網站以收集數據。報告詳述,當用戶開啟原生 Meta 應用程式(如 Facebook 或 Instagram)後,即使應用程式轉至背景,亦會建立服務監聽本機連接埠,並透過WebRTC(STUN)等技術接收 Meta Pixel 傳送的_fbp cookie,最終將其與用戶的 Facebook 或 Instagram 賬戶連結。
研究人員早在2024年9月已發現 Meta 採用此技術,而 Yandex 更早於2017年便已使用。
緊急暫停以應對業界:Meta 為避追查迅速暫停
值得注意的是,當媒體報道曝光的僅僅數小時後,Meta 迅速採取行動。研究人員觀察到 Meta Pixel 的程式碼已停止向本機連接埠傳送數據,並且大部分與_fbp cookie相關的程式碼已被移除。此舉被解讀為 Meta 為避免進一步受到 Google 的調查並被發現更多證據,迅速清除痕跡。
Meta表示:「我們正在與 Google 討論,以解決他們政策應用上可能存在的誤解。得知相關疑慮後,我們決定暫停該功能,並與 Google 合作解決問題。」
事實上對於私隱保護危機,Chrome 瀏覽器之前已於5月26日發布的137版本中,針對 Meta Pixel 使用的SDP Munging技術實施了應對措施,而 Mozilla Firefox 亦正開發修復方案。DuckDuckGo 則修改了其攔截列表以阻止 Yandex 的腳本。研究人員建議,Google 應考慮創建新的localhost-based tracking「本機網絡存取」權限,以在未來進一步減輕本機連線追蹤的風險。
【相關報道】
Source:TheRegister, AndroidPolice