Meta와 Yandex, localhost 추적을 이용한 개인정보 보호 우회 적발
2025-06-04
보안 연구원들은 Meta와 Yandex가 네이티브 Android 앱을 사용하여 localhost 포트를 수신 대기하고 웹 브라우징 데이터를 사용자 ID와 연결하여 일반적인 개인정보 보호 기능을 우회했다는 사실을 밝혀냈습니다. Meta의 Pixel 스크립트는 localhost로 데이터를 전송하지 않고 추적 코드의 대부분이 제거되었습니다. 이는 Google Play 정책 위반을 피하기 위한 것으로 보입니다. 연구원들은 Facebook, Instagram, Yandex 앱이 고정된 로컬 포트를 통해 쿠키 데이터를 은밀히 수집하여 브라우징 활동을 사용자 ID와 연결하고 쿠키 삭제, 시크릿 모드, 앱 권한 시스템 등의 보호 조치를 우회했다는 것을 발견했습니다. Meta는 2024년 9월부터 이 기법을 사용하여 HTTP, WebSocket, WebRTC 프로토콜을 사용했습니다. 현재 Meta는 이 기법의 사용을 중단했지만 Yandex는 계속 사용하고 있습니다. Chrome 137에는 몇 가지 완화 조치가 포함되어 있으며 Firefox와 DuckDuckGo도 조치를 취하고 있습니다.
기술