متا و یاندکس با سوءاستفاده از یک نقص امنیتی در اندروید

متا به طور پنهانی فعالیت‌های وب کاربران اندروید را به مدت چندین ماه ردیابی کرده است.

من انتظار ندارم متا به داده‌ها یا حریم خصوصی من احترام بگذارد، اما این شرکت همچنان مرا با این که تا چه حد حاضرند در نام جمع‌آوری داده‌ها پایین بیایند، شگفت‌زده می‌کند. آخرین داستان در این زمینه از گزارشی به نام ” افشاگری: ردیابی پنهانی وب به اپلیکیشن از طریق لوکال‌هاست در اندروید ” به ما می‌رسد.

به طور خلاصه، متا و یاندکس ( یک شرکت فناوری روسی ) با سوءاستفاده از یک نقص امنیتی در اندروید، در حال ردیابی میلیاردها کاربر اندروید هستند. این نقص به شرکت‌ها اجازه می‌دهد تا به داده‌های شناسایی مرورگری از مرورگر وب شما دسترسی پیدا کنند، به شرطی که اپلیکیشن‌های اندروید آن‌ها نصب شده باشد.

این ردیابی چگونه کار می‌کند؟

همان‌طور که گزارش توضیح می‌دهد، اندروید به هر اپلیکیشن نصب‌شده با مجوزهای اینترنت اجازه می‌دهد تا به ” آدرس لوپ‌بک ” یا لوکال‌هاست، که آدرسی است که دستگاه برای ارتباط با خود از آن استفاده می‌کند، دسترسی پیدا کند. به طور تصادفی، مرورگر وب شما نیز به لوکال‌هاست دسترسی دارد، که این امکان را به جاوااسکریپت‌های جاسازی‌شده در برخی وب‌سایت‌ها می‌دهد تا به اپلیکیشن‌های اندروید متصل شده و داده‌ها و شناسه‌های مرورگری را به اشتراک بگذارند.

این جاوااسکریپت‌ها چه هستند؟ در این مورد، این‌ها متا پیکسل و یاندکس متریکا هستند، اسکریپت‌هایی که به شرکت‌ها اجازه می‌دهند کاربران را در وب‌سایت‌های خود ردیابی کنند. ردیاب‌ها بخش ناخوشایند اینترنت مدرن هستند، اما متا پیکسل فقط باید در حین مرور وب شما را دنبال کند.

این حلقه به اسکریپت‌های متا پیکسل اجازه می‌دهد تا داده‌های مرور شما، کوکی‌ها و شناسه‌ها را به اپلیکیشن‌های نصب‌شده متا مانند فیسبوک و اینستاگرام ارسال کنند. همین امر برای یاندکس با اپلیکیشن‌هایی مانند نقشه‌ها و مرورگرش نیز صدق می‌کند.

شما قطعاً هنگام نصب اینستاگرام بر روی دستگاه اندروید خود برای این موضوع ثبت‌نام نکردید. اما به محض اینکه وارد حساب کاربری خود شدید، دفعه بعد که به وب‌سایتی که متا پیکسل را جاسازی کرده بود، مراجعه کردید، اسکریپت اطلاعات شما را به اپلیکیشن ارسال کرد. ناگهان، متا داده‌های شناسایی مرورگری از فعالیت وب شما داشت، نه از طریق خود مرور، بلکه از اپلیکیشن “غیر مرتبط” اینستاگرام.

کروم، فایرفاکس و اج در این یافته‌ها تحت تأثیر قرار گرفتند. داک‌داک‌گو برخی از دامنه‌ها را مسدود کرد اما نه همه آن‌ها را، بنابراین ” به‌طور حداقلی تحت تأثیر قرار گرفت. ” بریو درخواست‌ها به لوکال‌هاست را اگر به آن رضایت ندهید مسدود می‌کند، بنابراین از کاربران در برابر این ردیابی به طور موفقیت‌آمیزی محافظت کرد.

محققان می‌گویند یاندکس از فوریه ۲۰۱۷ در سایت‌های HTTP و از مه ۲۰۱۸ در سایت‌های HTTPS این کار را انجام می‌دهد. از سوی دیگر، متا پیکسل برای مدت طولانی به این روش ردیابی نمی‌کرد: این کار فقط از سپتامبر ۲۰۲۴ برای HTTP آغاز شد و در اکتبر آن را متوقف کرد. این روش در نوامبر از طریق وب‌سوکت و وب‌ RTC STUN آغاز شد و در مه از وب‌ RTC TURN استفاده کرد.

به نظر می‌رسد که صاحبان وب‌سایت‌ها از سپتامبر به متا شکایت کردند و از آن‌ها پرسیدند که چرا متا پیکسل با لوکال‌هاست ارتباط برقرار می‌کند. از آنچه محققان توانسته‌اند پیدا کنند، متا هرگز پاسخی نداده است.

محققان تأکید می‌کنند که نوع این ردیابی در iOS نیز ممکن است، زیرا توسعه‌دهندگان می‌توانند اتصالات لوکال‌هاست برقرار کنند و اپلیکیشن‌ها نیز می‌توانند ” گوش دهند “. با این حال، آن‌ها هیچ مدرکی از این ردیابی بر روی دستگاه‌های iOS پیدا نکردند و فرض می‌کنند که این موضوع به شیوه‌ای که iOS اپلیکیشن‌های بومی را در پس‌زمینه محدود می‌کند، مربوط است.

متا به طور رسمی این ردیابی را متوقف کرده است

خبر خوب این است که از ۳ ژوئن، محققان می‌گویند که هیچ ارتباطی میان متا پیکسل و لوکال‌هاست مشاهده نکرده‌اند. آن‌ها همین را درباره یاندکس متریکا نگفتند، اگرچه یاندکس به آرس تکنیکا گفت که “این عمل را متوقف می‌کند.” آرس تکنیکا همچنین گزارش می‌دهد که گوگل تحقیقاتی در مورد این اقدامات که “به وضوح اصول امنیت و حریم خصوصی ما را نقض می‌کند” آغاز کرده است.

با این حال، حتی اگر متا پس از گزارش، این ردیابی را متوقف کرده باشد، آسیب می‌تواند گسترده باشد. همان‌طور که در گزارش به آن اشاره شده، برآوردها نشان می‌دهد که پذیرش متا پیکسل در هر جایی بین ۲.۴ میلیون تا ۵.۸ میلیون وب‌سایت است.

از اینجا، محققان متوجه شدند که کمی بیش از ۱۷,۰۰۰ وب‌سایت متا پیکسل در ایالات متحده سعی در ارتباط با لوکال‌هاست دارند و بیش از ۷۸٪ از آن‌ها این کار را بدون نیاز به هرگونه رضایت کاربر انجام می‌دهند، از جمله وب‌سایت‌هایی مانند AP News، Buzzfeed و The Verge.

این تعداد زیادی وب‌سایت است که می‌توانستند داده‌های شما را به اپلیکیشن‌های فیسبوک و اینستاگرام شما ارسال کنند. گزارش ابزاری را ارائه می‌دهد که می‌توانید از آن برای جستجوی وب‌سایت‌های تحت تأثیر استفاده کنید، اما خاطرنشان می‌کند که این لیست جامع نیست و عدم حضور به معنای ایمن بودن وب‌سایت نیست.

متا در پاسخ به درخواست من برای اظهار نظر، بیانیه زیر را برای من ارسال کرد: “ما در حال گفتگو با گوگل هستیم تا به یک سوءتفاهم احتمالی در مورد اعمال سیاست‌های آن‌ها رسیدگی کنیم. پس از آگاهی از نگرانی‌ها، تصمیم گرفتیم این ویژگی را متوقف کنیم تا با گوگل برای حل این مسئله همکاری کنیم.”

انتهای خبر از دایان