Добавить в корзинуПозвонить
Найти в Дзене
ОК
647 подписчиков

Как крупные интернет-сервисы деанонимизируют пользователей Android: исследование, риски и методы защиты

5 мин
Meta* и «Яндекс» нашли способ связывать веб-историю пользователей Android с их аккаунтами в приложениях, несмотря на защиту песочницы и приватность браузеров. Как это работает, что грозит пользователям и что делать — разбираемся в деталях. В свежем расследовании международной команды специалистов по безопасности выяснилось: крупные технологические компании, такие как Meta (деятельность признана экстремистской и запрещена в РФ) и «Яндекс», нашли способ обходить базовые механизмы приватности Android и браузеров, чтобы деанонимизировать пользователей. Это значит — связывать вашу историю посещений сайтов с конкретной учетной записью в мобильном приложении, даже если вы используете приватный режим или разные браузеры. Android и современные браузеры строят свою безопасность на принципе песочницы: приложения и сайты изолированы друг от друга, не могут напрямую обмениваться данными, а значит, история браузера не должна попадать в мобильное приложение. Но найденная уязвимость позволяет обойти э
Оглавление

Meta* и «Яндекс» нашли способ связывать веб-историю пользователей Android с их аккаунтами в приложениях, несмотря на защиту песочницы и приватность браузеров. Как это работает, что грозит пользователям и что делать — разбираемся в деталях.

Новый уровень слежки: что обнаружили исследователи

В свежем расследовании международной команды специалистов по безопасности выяснилось: крупные технологические компании, такие как Meta (деятельность признана экстремистской и запрещена в РФ) и «Яндекс», нашли способ обходить базовые механизмы приватности Android и браузеров, чтобы деанонимизировать пользователей. Это значит — связывать вашу историю посещений сайтов с конкретной учетной записью в мобильном приложении, даже если вы используете приватный режим или разные браузеры.

Как работает песочница и почему это важно

Android и современные браузеры строят свою безопасность на принципе песочницы: приложения и сайты изолированы друг от друга, не могут напрямую обмениваться данными, а значит, история браузера не должна попадать в мобильное приложение. Но найденная уязвимость позволяет обойти это ограничение, открывая канал связи между браузером и приложением.

Технические детали: как связывают браузер и приложение

Использование локальных портов и трекеров

Ключевая идея — использовать возможности браузеров Android для общения с нативными приложениями через локальные порты (IP 127.0.0.1). Скрипты аналитики Meta Pixel и «Яндекс Метрики», встроенные на миллионы сайтов, отправляют идентификаторы пользователя (cookie и другие данные) на локальные порты, которые прослушиваются приложениями Facebook, Instagram и «Яндекса».

  • Meta Pixel начал использовать этот подход осенью 2024 года, а «Яндекс Метрика» — еще в 2017-м.
  • Приложения в фоне слушают определённые порты (например, 12387, 12388 для Meta; 29009, 30102 и др. для «Яндекса»).
  • Когда пользователь посещает сайт с трекером, скрипт отправляет идентификатор на локальный порт, а приложение связывает его с аккаунтом пользователя.

Трюки с WebRTC и SDP munging

Особенно изощрённый способ — внедрение идентификаторов в протокол WebRTC через манипуляцию SDP (Session Description Protocol). Скрипт Meta Pixel подмешивает cookie _fbp в поля SDP, после чего браузер отправляет эти данные на локальный порт, а приложение их перехватывает и отправляет на сервер Meta.

  • В мае 2025 Chrome попытался заблокировать этот способ, но разработчики трекеров быстро нашли обход, переключившись с STUN на TURN-запросы.
  • Аналогичные методы использует и «Яндекс Метрика», только с другими портами и протоколами.

Почему это опасно для пользователей

  • Деанонимизация: ваша история посещений сайтов может быть напрямую связана с аккаунтом в приложении, даже если вы не даёте согласие на отслеживание или используете приватный режим.
  • Нарушение приватности: более 75% сайтов с Meta Pixel не спрашивают разрешения на такую передачу данных.
  • Обход стандартных защит: даже если браузер блокирует сторонние cookie и трекеры, этот канал работает на уровне локального взаимодействия, вне поля зрения большинства защитных механизмов.
  • Риски для бизнеса и пользователей: компании могут собирать подробные профили активности, что чревато утечками, манипуляциями и нарушением законодательства о персональных данных.

Реакция компаний и разработчиков

  • Google ужесточил правила для приложений в Play Market и начал расследование, пообещав устранить подобные лазейки.
  • Meta* заявила о приостановке использования этой возможности до выяснения ситуации с Google.
  • «Яндекс» сообщил о прекращении практики и сотрудничестве с Google, утверждая, что функция не собирала конфиденциальные данные и предназначалась для персонализации.

Как защититься: советы от «ОК»

1. Не устанавливайте приложения Meta* и «Яндекса» на Android

Самый радикальный, но действенный способ — не использовать приложения, которые могут слушать локальные порты и связывать ваши данные.

2. Используйте браузеры с усиленной защитой

  • DuckDuckGo и Brave автоматически блокируют обращения к подозрительным локальным портам и трекерам.
  • Vivaldi и другие Chromium-браузеры требуют ручного включения блокировки трекеров.
  • Chrome и Firefox внедряют новые механизмы защиты, но они пока не идеальны и могут быть обойдены обновлениями трекеров.

3. Контролируйте разрешения приложений

Проверяйте, какие приложения имеют доступ к сети и работают в фоне. Отключайте ненужные разрешения и службы.

4. Следите за обновлениями

Разработчики браузеров и ОС активно работают над устранением подобных уязвимостей. Своевременно обновляйте приложения и систему.

5. Используйте режимы приватности и блокировщики

Включайте блокировку трекеров и обращений к localhost, если это поддерживается вашим браузером.

Почему проблема не решена окончательно

Исследователи отмечают: любые черные списки и блокировки — лишь временная мера. Трекеры могут менять порты, протоколы и хостнеймы, обходя защиту. Единственное надёжное решение — ограничить доступ к локальным портам на уровне ОС и браузеров, а также сделать такие взаимодействия прозрачными для пользователя (например, через систему разрешений).

Что говорят законы и суды

Пока не ясно, нарушает ли такая практика напрямую законы о приватности в разных странах. Однако Meta и другие компании уже сталкивались с судебными исками из-за аналогичных методов слежки, особенно в случаях, когда речь шла о чувствительных данных и отсутствии явного согласия пользователя.

Ну, подведём итоги

История с деанонимизацией пользователей Android через трекеры Meta Pixel и «Яндекс Метрики» — тревожный сигнал для всех, кто заботится о цифровой приватности. Даже если вы используете приватный режим или блокировщики, ваши действия могут быть связаны с реальным аккаунтом в приложении. Пока индустрия не внедрит системные ограничения, единственная гарантия — осознанный выбор приложений и браузеров, а также регулярный контроль за настройками приватности.

Расскажите, сталкивались ли вы с неожиданной рекламой или подозрительной персонализацией после посещения сайтов? Какие инструменты приватности используете вы? Оставляйте комментарии, делитесь опытом и подписывайтесь на «ОК» — мы расскажем, как защитить себя в цифровом мире!

Ваши вопросы и мнения ждём в комментариях — редакция «ОК» всегда на связи!

*деятельность признана экстремистской и запрещена в РФ