Meta和Yandex被指滥用协议：在数百万网站植入代码追踪安卓用户

6 月 4 日消息， 科技 媒体 Ars Technica 昨日（6 月 3 日）发布博文，报道称 Meta 和 Yandex 通过在数百万网站中嵌入追踪代码（如 Meta Pixel 和 Yandex Metrica）， 滥用 互联网 协议，绕过安卓系统和浏览器的隐私保护，追踪安卓用户。

IT之家援引博文介绍，Meta 通过在全球约 580 万个网站中嵌入 Meta Pixel，俄罗斯搜索巨头 Yandex 在约 300 万个网站中嵌入 Yandex Metrica 追踪器，滥用现代移动浏览器的基本功能，突破安卓系统的“沙箱”隔离机制。

研究人员指出，安卓沙箱本应阻止应用与操作系统或其他应用交互，保护敏感数据。然而，Meta 和 Yandex 通过浏览器与原生应用（如 Facebook、Instagram 和 Yandex 应用）之间的本地端口通信，将网页浏览数据关联用户真实身份，彻底破坏匿名性。

研究者 Narseo Vallina-Rodriguez 强调，这种攻击打破了移动端与网页端的安全界限。Yandex 自 2017 年、Meta 自 2024 年 9 月开始实施这一绕过机制。

研究者表示这种滥用机制比较复杂，利用浏览器向 Android 本地端口（如 127.0.0.1）发送请求的功能，将追踪标识符（如_fbp cookie）传输至监听端口的原生应用。

Meta Pixel 甚至采用 WebRTC 和 SDP munging 等复杂技术，将数据嵌入协议字段中，避开常规防御。

相比之下，iOS 对本地通信控制更严格，而 Android 的宽松设计和后台执行机制为这种滥用提供了可乘之机。谷歌代表称此行为违反 Play 商店服务条款和用户隐私预期，已采取措施并展开调查。

研究人员警告，当前修复措施针对性强，若追踪者更换端口或方法，防御可能失效，亟需从平台层面限制本地端口访问。

【来源：IT之家】