Meta и Yandex уличены в обходе конфиденциальности Android через localhost
Приложения Facebook, Instagram и сервисы Yandex были уличены в обходе системы конфиденциальности Android: исследователи обнаружили, что даже без разрешений и в режиме инкогнито они могли отслеживать действия пользователей в интернете. Открытие вызвало международный резонанс, а компании Google и Mozilla инициировали срочные расследования.
Как это работало?
Система Android спроектирована с изоляцией между приложениями (sandboxing) — каждое приложение не может видеть, что делают другие. Однако исследователи из университетов Radboud и IMDEA обнаружили, что Meta и Yandex использовали скрытую систему локального взаимодействия внутри устройства. Через JavaScript-коды — например, Meta Pixel или Yandex Metrica, встроенные на сайтах — открывался так называемый «localhost-порт», через который приложение получало информацию о визитах пользователя.
Этот метод позволял обойти не только стандартные запреты Android, но и защиту режимов приватного просмотра, VPN и даже блокировщиков рекламы. Как выяснилось, следить можно было даже тогда, когда пользователь считал себя анонимным.
Кто пострадал?
По данным El País, уязвимость касается миллионов устройств с Android по всему миру. Достаточно было установить приложение Facebook, Messenger, Instagram или одно из приложений Yandex — и далее любой визит на сайт с интегрированным кодом превращался в источник сбора данных.
Особенно тревожно, что метод не требует активного согласия: Android не запрашивает разрешения на такие действия, так как формально соединение происходит локально и не нарушает стандартных правил платформы.
Реакция индустрии
После публикации отчёта Meta и Yandex объявили о приостановке использования спорной технологии. Однако Google и Mozilla начали расследования, с подозрением на нарушение политики конфиденциальности и условий пользовательского соглашения. В Google подтвердили, что работают над закрытием системной уязвимости, а Mozilla пообещала обновить защиту в Firefox.
Что делать пользователям?
Эксперты подчёркивают, что на текущем этапе невозможно полностью заблокировать такой механизм с помощью обычных средств: ни VPN, ни расширения для блокировки рекламы не справляются с внутренним обменом данными между приложением и сайтом.