MetaとYandex、localhostトラッキングによるプライバシー保護の回避を摘発
2025-06-04
セキュリティ研究者らは、MetaとYandexがネイティブのAndroidアプリを使用してlocalhostポートをリスニングし、ウェブブラウジングデータをユーザーIDに関連付け、一般的なプライバシー保護を回避していたことを明らかにしました。MetaのPixelスクリプトはlocalhostへのデータ送信を停止し、トラッキングコードの大部分が削除されました。これは、Google Playポリシー違反を避けるためと思われます。研究者らは、Facebook、Instagram、Yandexのアプリが固定ローカルポートを介してCookieデータを密かに収集し、ブラウジングアクティビティをユーザーIDに関連付けていたことを発見しました。これにより、Cookieのクリア、シークレットモード、アプリのパーミッションシステムなどの保護策が回避されていました。Metaは2024年9月からこの手法を使用し、HTTP、WebSocket、WebRTCプロトコルを使用していました。現在、Metaはこの手法の使用を停止していますが、Yandexは引き続き使用しています。Chrome 137にはいくつかの軽減策が含まれており、FirefoxとDuckDuckGoも対策を講じています。
テクノロジー
データトラッキング