Các nhà nghiên cứu bắt các ứng dụng meta lạm dụng Android để theo dõi lịch sử duyệt web nhạy cảm

Bản tóm tắt

• Hộp cát của Android thường khiến các ứng dụng không chia sẻ các định danh nhạy cảm, nhưng một kẽ hở cho phép các ứng dụng vượt qua các biện pháp bảo mật.

• Meta và Yandex Tracker nhúng đã được phát hiện khai thác các kết nối localhost để gửi dữ liệu cookie đến các ứng dụng mà không được phép.

• Google và Firefox đang điều tra hành vi ứng dụng có khả năng không cho phép theo dõi trình duyệt bí mật, trong khi tính hợp pháp vẫn chưa rõ ràng.

Mối quan tâm về quyền riêng tư phổ biến hơn bao giờ hết, với các công cụ như VPN, trình chặn quảng cáo và trình duyệt riêng tiếp tục trở nên phổ biến. Mặc dù một cái gì đó như chế độ ẩn danh sẽ không ngăn ISP theo dõi lịch sử web của người dùng, nhưng (về mặt lý thuyết) sẽ ngăn chặn các ứng dụng chia sẻ các lượt truy cập trang web nhạy cảm nhất của bạn với các ứng dụng và máy chủ dữ liệu tiếp thị khác. Android sử dụng một kỹ thuật gọi là hộp cát để giữ các ứng dụng ở độ dài của nhau để họ không thể điều khiển các kết nối để theo dõi các hành vi lén lút.

Đó là lý do tại sao thật đáng báo động khi các ứng dụng bao gồm Facebook tận dụng lỗ hổng Android để liên kết các chuyến thăm trang web được cho là ẩn danh với các thực thể đã biết, hay nói cách khác, bạn và lịch sử duyệt web của bạn. Phát hiện gần đây của các nhà nghiên cứu độc lập có cả Google và Firefox – các thực thể chính đằng sau các trình duyệt phổ biến nhất thế giới – điều tra các vi phạm TOS tiềm năng của cả Meta và Yandex, sau này rõ ràng đã sử dụng chiến thuật này trong nhiều năm (nguồn: LocalMess thông qua ARS Technica).

Có liên quan

Điện thoại Android của bạn có bí mật theo dõi bạn không? Đây là cách ngăn chặn nó

Làm cho điện thoại của bạn không thể theo dõi

Thao tác phần mềm, nhà phát triển và người dùng

Nhưng đáng ngạc nhiên hoàn toàn không có ai

Quá trình theo dõi bí mật tận dụng tính chất không có bảo đảm của các kết nối localhost, đó là thông tin liên lạc trong thiết bị di động của bạn để quản lý cách các ứng dụng tương tác với HĐH. Không giống như các kênh thông thường để cung cấp cookie, khai thác có thể chuyển cookie đến và từ các ứng dụng có thể được hộp cát một cách hiệu quả hoặc bị hạn chế nói chuyện với nhau theo những cách nhất định mà không có sự cho phép của Android. Bởi vì Android không cần sự cho phép liên lạc qua các cổng localhost, việc theo dõi lật đổ đã bay dưới radar cho đến gần đây.

Không nhận được quá kỹ thuật, kỹ thuật này giống như một phương thức theo dõi email phổ biến. Trong mẹo đó, hình ảnh với các chuỗi nhận dạng độc đáo được nhúng trong email. Khi bạn tải email, thiết bị của bạn sẽ đưa máy chủ hình ảnh, cả hai tải hình ảnh vừa gửi mã định danh duy nhất đã nói ở trên, thông báo cho máy chủ rằng bạn đã mở email.

Không có cách nào để người dùng ngăn loại giao tiếp này trên thiết bị của họ. Do tính chất năng động của mã JavaScript và khó khăn trong việc cập nhật danh sách chặn, cách ngăn chặn điều này liên tục là bằng cách giới hạn loại truy cập này ở cấp độ nền tảng di động và trình duyệt, bao gồm các chính sách nền tảng chặt chẽ hơn để hạn chế lạm dụng. -Narseo Vallina-Rodriguez, nhà nghiên cứu

Cách giải quyết theo dõi localhost làm một cái gì đó tương tự, nhưng phức tạp hơn đáng kể. Cuối cùng, kẽ hở cho phép các ứng dụng phát hiện bất kỳ trang web nào bạn đã truy cập có chứa tập lệnh theo dõi có tên Meta Pixel, một đoạn mã cực kỳ phổ biến được nhúng trong vô số trang web phổ biến cho mục đích phân tích. Là một cách giải quyết cấp hệ thống, nó có thể tận dụng nhiều vectơ khai thác. Một số trong những vectơ đã bị đánh hơi, vá lỗi và được các ứng dụng tiếp tục giám sát dưới ra khỏi radar. Phương pháp này không liên quan đến bất kỳ hương vị duyệt web riêng của ứng dụng và các nhà nghiên cứu liên quan đã đi sâu về sự khó khăn trong việc ngăn chặn sự lạm dụng.

Có liên quan

Nghiên cứu cho thấy Apple, Google và Meta đang bàn giao dữ liệu người dùng với tốc độ đáng báo động

Bạn không bao giờ trực tuyến riêng tư

Bằng chứng về Meta sử dụng kỹ thuật này lần đầu tiên xuất hiện vào tháng 9 năm 2024, nhưng khổng lồ tìm kiếm của Nga Yandex đã làm điều đó trong hơn tám năm. Cả Meta và Yandex đều không trả lời các yêu cầu bình luận của ARS Technica, nhưng cả đại diện của Google và Firefox đều cho biết họ đang điều tra vấn đề về các vi phạm tiềm năng của các điều khoản dịch vụ, cũng như kỳ vọng về quyền riêng tư của người dùng. Cả hai nhà phát triển trình duyệt lưu ý rõ ràng rằng hành vi đó không được phép trên nền tảng của họ.

Một đại diện cho Google cho biết hành vi vi phạm các điều khoản dịch vụ cho thị trường chơi của mình và kỳ vọng về quyền riêng tư của người dùng Android. – ARS Technica

Gần đây nhất – chỉ một vài giờ sau khi ARS phá vỡ câu chuyện, trên thực tế – các nhà nghiên cứu đã phát hiện ra rằng việc liên lạc nghi phạm giữa kịch bản meta pixel và các cảng localhost đã dừng lại. Hơn nữa, gần như tất cả các mã tham khảo cookie _FBP ở trung tâm của sự thất bại đã bị xóa. Thoạt nhìn, có vẻ như công ty chịu trách nhiệm rất khó khăn trong công việc bao gồm các bài hát của nó.

Có liên quan

6 Cài đặt quyền riêng tư mỗi người dùng Android nên kiểm tra ngay lập tức

Đừng bỏ qua các cài đặt quyền riêng tư này