Slashdot 读者 TheWho79 写道:“Meta(又名 Facebook 的母公司)和 Yandex 似乎找到了绕过 Android 沙盒的方法。” 研究人员在一份报告中披露了这种新颖的追踪方法:我们发现,包括 Facebook、Instagram 以及包括地图和浏览器在内的多款 Yandex 应用在内的原生 Android 应用会静默监听固定的本地端口以进行追踪。这些原生 Android 应用会从嵌入在数千个网站上的 Meta Pixel 和 Yandex Metrica 脚本中接收浏览器的元数据、Cookie 和命令。这些 JavaScript 会加载到用户的移动浏览器上,并通过本地主机套接字静默连接到同一设备上运行的原生应用。由于原生应用会以编程方式访问设备标识符(例如 Android 广告 ID (AAID))或像 Meta 应用那样处理用户身份,这种方法实际上允许这些组织将移动浏览会话和 Web Cookie 与用户身份关联起来,从而消除用户访问嵌入其脚本的网站的匿名性。这种 Web 到应用程序 ID 共享方法绕过了典型的隐私保护措施,例如清除 Cookie、隐身模式和 Android 的权限控制。更糟糕的是,它为潜在的恶意应用程序窃听用户的网络活动打开了方便之门。虽然 Meta 和 Yandex 在连接 Web 和移动上下文及标识符的方式上存在细微的差别,但它们本质上都滥用了未经审查的本地主机套接字访问权限。Android 操作系统允许任何已安装且具有 INTERNET 权限的应用程序在环回接口 (127.0.0.1) 上打开一个监听套接字。在同一设备上运行的浏览器也可以在未经用户同意或平台中介的情况下访问此接口。这使得嵌入在网页上的 JavaScript 能够与原生 Android 应用程序通信并共享标识符和浏览习惯,使用标准 Web API 将短暂的 Web 标识符与长期存在的移动应用程序 ID 连接起来。这种技术绕过了隐身模式、Cookie 删除和 Android 权限模型等隐私保护措施,Meta Pixel 和 Yandex Metrica 脚本会悄悄地与总计超过 600 万个网站的应用进行通信。在公开披露后,Meta 已于 2025 年 6 月 3 日停止使用此方法。Chrome、Brave、Firefox 和 DuckDuckGo 等浏览器供应商已经实施或正在开发缓解措施,但要完全解决此问题可能需要在操作系统级别进行更改,并更严格地执行平台策略,以防止进一步滥用。
在 Slashdot 上阅读更多内容。