Dan Goodin 在 Ars Technica 上撰文:
这种滥用行为仅在 Android 系统中被发现,有证据表明 Meta Pixel 和 Yandex Metrica 仅针对 Android 用户。研究人员表示,从技术上讲,针对 iOS 系统进行攻击可能是可行的,因为 iOS 平台上的浏览器允许开发者以编程方式建立本地主机连接,应用程序可以在本地端口上进行监控。
然而,研究人员表示,与 iOS 相比,Android 对本地主机通信和移动应用后台执行的控制较少,同时在应用商店审核流程中实施了更严格的控制,以限制此类滥用行为。这种过于宽松的设计允许 Meta Pixel 和 Yandex Metrica 向特定的本地端口发送带有网络跟踪标识符的网络请求,而这些端口受到 Facebook、Instagram 和 Yandex 应用的持续监控。这些应用随后可以将假名网络身份与实际用户身份关联起来,即使在隐私浏览模式下也是如此,从而有效地消除了用户在包含这些跟踪器的网站上的浏览习惯的匿名性。
我要指出的是,欧盟委员会对 iOS 提出的所谓“互操作性”要求中,有一项是第三方应用必须在后台不受限制地运行,因为苹果自己的一些第一方软件显然也在后台运行。我还要指出的是,苹果早在 2024 年 12 月的报告中就明确表示了对欧盟委员会要求的反对意见,其中提到:
没有哪家公司像 Meta 那样向苹果提出过如此多的互操作性请求。在很多情况下,Meta 试图改变某些功能,引发用户对隐私和安全的担忧,而且这些改变似乎与 Meta 外部设备(例如 Meta 智能眼镜和 Meta Quest)的实际使用完全无关。
这个新发现的“Local Mess”漏洞——似乎只在 Android 上有效——正是 Meta 想要在 iOS 上实施的方案:在数百万个网站上跟踪用户,同时他们有理由相信他们的网页浏览受到所有原生应用程序的沙盒保护。
回到古丁:
Meta Pixel 和 Yandex Metrica 是旨在帮助广告商衡量其广告活动效果的分析脚本。据估计,Meta Pixel 和 Yandex Metrica 分别安装在580 万个和300 万个网站上。
每个包含这些跟踪脚本的网站都在某种程度上参与了窃取数亿 Android 用户的网络浏览隐私。