Meta и Яндекс отслеживают Android-пользователей через браузер

Что обнаружили исследователи

Международная команда учёных из Radboud University и IMDEA Networks описала новую схему слежки. В ней сайт загружает скрипт (Meta Pixel или Yandex Metrica), который передаёт данные в нативные приложения на телефоне. Приложения сопоставляют эти данные со своими учётными записями и тем самым отслеживают поведение пользователя в интернете.

Ключевые положения:

• Скрипт связывает браузерные сессии и куки с идентификаторами устройства через установленное на устройстве приложение.
• Метод работает на Android и использует легитимные сетевые возможности и механизмы взаимодействия веба с приложениями.
• Трекинг наблюдали даже если пользователь не вошёл в Facebook/Instagram через мобильный браузер, в режиме инкогнито и после очистки куки.
• Meta Pixel, по наблюдениям, перестал работать с 3 июня: большая часть кода была удалена. Yandex Metrica использует похожую тактику с 2017 года.

Исследователи предупреждают, что такие практики могут выполняться без явного согласия пользователя, если сайт загружает скрипт до получения разрешений на куки.

Фото: BritCats Studio / Shutterstock

Почему это работает на Android

Android позволяет приложениям прослушивать определённые локальные порты и взаимодействовать с веб-контентом. Скрипт на сайте соединяется с локальным интерфейсом или использует легитимные интернет-протоколы, чтобы обменяться данными с уже установленными приложениями. Затем приложение, имеющее доступ к учётной записи пользователя, связывает полученную информацию с профилем и отчётами для рекламодателей.

Исследователи отмечают, что подобный обмен данными между браузерами iOS и нативными приложениями «технически возможен», но пока не наблюдался в массовом виде.

На кого влияет проблема

• Пользователи Android в Chrome и других Chromium-браузерах. Техника использует особенности Chromium, поэтому уязвимы и производные браузеры.
• Люди, у которых установлены приложения Meta (Facebook, Instagram) или Яндекс-приложения (например, Яндекс.Браузер, приложения с Yandex Metrica).
• Те, кто полагается на режим инкогнито или на удаление куки, считая себя защищёнными.

Как защититься — практическое руководство

Важно: самый надёжный способ — удалить проблемные приложения. Понимаю, что это не всегда удобно для большинства пользователей. Ниже — ранжированные методы по балансу простоты и эффективности.

1. Быстрая защита (низкие усилия):

   • Перейдите на браузеры, ориентированные на приватность: DuckDuckGo, Brave. Они меньше зависят от Chromium-интеграций и добавляют дополнительные средства защиты.
   • Удалите или временно отключите приложения от Meta и Яндекса, если готовы пожертвовать удобствами.

2. Средний уровень защиты:

   • Ограничьте разрешения для приложений: запретите фоновый доступ к сети для проблемных приложений, где возможно.
   • Используйте VPN с функциями блокировки трекеров.

3. Технически продвинуто (высокие усилия):

   • Настройте файрволл на устройстве (локальный или системный), чтобы блокировать локальные соединения между браузером и приложениями.
   • Пользуйтесь отдельными профилями/контейнерами для браузера или виртуальными средами, где нет установленных нативных приложений.

Важно: Google в курсе проблемы. Теоретически Android можно улучшить так, чтобы ограничить локальный доступ и обмен данными между браузерами и приложениями. Пока нет официальных изменений, удаление приложений остаётся самым надёжным вариантом.

Альтернативные подходы и когда их стоит применять

• Использовать отдельное устройство для чувствительных задач (мобильный банк, госуслуги). Подойдёт тем, кто хочет минимизировать риски без удаления популярных приложений.
• Привязывать минимальные данные к учётным записям: не хранить лишние данные в связанных приложениях.
• Для компаний: внедрить корпоративные политики по установке приложений и использовать MDM/EMM для контроля сетевого доступа приложений.

Когда эти меры не срабатывают:

• Если сайт загружает трекер до получения явного согласия, пользовательские настройки куки могут не защитить.
• При наличии уязвимостей в самом Android или в браузере, которые дают обходные пути.

Простая методика проверки — как убедиться, что вас не отслеживают

1. Отключите интернет на телефоне и откройте страницу, содержащую Meta Pixel или Yandex Metrica (например, тестовую страницу с этими скриптами).
2. Включите локальный монитор трафика или используйте приложение-файрволл для логирования входящих/исходящих соединений приложений.
3. Посмотрите, есть ли попытки соединения от браузера к локальным портам или обращения к приложениям с получением данных.
4. Установите чистую версию браузера без доп. расширений и повторите тест.

Это поможет понять, происходит ли обмен данными между браузером и приложениями.

Руководства для ролей: кто что должен сделать

• Обычный пользователь:

  • Установить приватный браузер и по возможности удалить приложения Meta/Яндекса.
  • Использовать VPN и блокировщики трекеров.

• IT-администратор малого бизнеса:

  • Запретить установку ненадёжных приложений на рабочие устройства.
  • Настроить корпоративный файрволл и MDM-профили.

• Разработчик сайта/маркетолог:

  • Не загружать трекинговые скрипты до получения согласия на куки.
  • Предложить пользователям прозрачные опции opt-in/opt-out.

Примеры, когда система даёт ложное ощущение безопасности

• Режим инкогнито не изолирует устройство от нативных приложений. Он очищает локальные данные браузера, но не блокирует межпроцессное взаимодействие.
• Очистка куки не удалит привязки, установленные нативным приложением, если оно уже получило данные заранее.

Примечание о конфиденциальности и соответствие GDPR

• Передача данных из браузера в нативные приложения без явного согласия пользователя может нарушать принципы обработки персональных данных в ряде юрисдикций.
• Для владельцев сайтов: загружайте аналитические и рекламные скрипты только после получения явного согласия пользователя.
• Для компаний: пересмотрите обработку данных третьими лицами и обновите DPA (Data Processing Agreements) при необходимости.

Важно: это качественная оценка рисков. Конкретные юридические выводы требует проверка специалиста по защите данных в вашей юрисдикции.

Контрольный список для быстрой проверки и действий

• Проверить, установлены ли приложения Meta или Яндекса на телефоне.
• Переключиться на приватный браузер (DuckDuckGo, Brave) и протестировать поведение.
• Установить локальный файрволл или VPN с трекер-блокировкой.
• Для сайтов: переставить загрузку аналитики за шаг получения согласия на куки.

Минимальная политика безопасности для организаций

1. Запрет на предустановку или обязательную установку приложений со встроенными трекерами на корпоративных устройствах.
2. Мониторинг исходящего трафика с мобильных рабочих устройств.
3. Инструкции для сотрудников по использованию приватных браузеров и управлению разрешениями приложений.

Краткое резюме

• Новая схема трекинга связывает веб-сессии и данные браузера с нативными приложениями на Android.
• Это работает в инкогнито и после очистки куки, если сайт загружает трекер до согласия.
• Самые простые меры защиты: удалить проблемные приложения, использовать приватные браузеры и ограничивать локальное сетевое взаимодействие.

Примечание: Meta Pixel почти полностью отключили 3 июня, но похожая логика продолжает работать в других сервисах, например, с Yandex Metrica.

Важно: действуйте сейчас, если хотите ограничить побочный обмен данных между браузером и приложениями на вашем устройстве.

Дополнительная краткая заметка для соцсетей: «Исследователи нашли способ, как Meta и Яндекс связывают веб-активность с приложениями на Android — инкогнито не спасает. Удаление приложений или переход на приватный браузер снижает риск.»