فيسبوك وإنستغرام متورطان في فضيحة خصوصية ضخمة على أندرويد: مليارات تأثرت من ثغرة تتعلق بالتتبع السري عبر الويب

صدمة مستخدمي أندرويد حيث تتخطى فيسبوك وإنستجرام إعدادات الخصوصية بالتتبع السري—مليارات في خطر

كشفت تطبيقات فيسبوك وإنستجرام وياندكس عن تتبع سري لنشاط التصفح على أندرويد—متجاوزة إعدادات الخصوصية ووضع التصفح الخفي في عام 2025.

في تقرير صادم، اكتشف الباحثون في معهد IMDEA Networks الشهير خرقاً كبيراً للخصوصية يؤثر على مليارات من مستخدمي أندرويد حول العالم. استغلت فيسبوك وإنستجرام، جنباً إلى جنب مع عملاق التكنولوجيا الروسي ياندكس، منافذ الشبكة المخفية على أندرويد لمراقبة نشاط المستخدمين على الويب سراً—حتى عندما تكون إعدادات الخصوصية في أقصى مستوياتها أو عندما يكون وضع التصفح الخفي مفعلًا.

كيف تتجسس فيسبوك وإنستجرام على تصفح أندرويد؟

كشف المحققون أن تطبيقات أندرويد لفيسبوك وإنستجرام تقوم بشكل سري بتهيئة خدمات خلفية تستمع إلى “منافذ” الشبكة المحددة—تخيلها كقنوات غير مرئية مخصصة لاعتراض البيانات. عندما يزور المستخدم موقعاً يحتوي على بيكسل تتبع ميتا الشهير (الموجود على أكثر من 5.8 مليون موقع)، ترسل سكريبتات جافا خبيثة كوكيز المتصفح مباشرة من خلال اتصال localhost الخاص بالجهاز إلى تطبيق فيسبوك أو إنستجرام المثبت بالفعل، مما يربط جلسة الويب بملف المستخدم. ثم ترسل التطبيق سجل التصفح المحسن إلى خوادم ميتا.

والصادم أن هذه الممارسة تتجاوز ضوابط الخصوصية في أندرويد وتعمل حتى إذا قام المستخدمون بمسح تاريخ التصفح أو تعطيل الكوكيز أو لم يكن لديهم حساب في فيسبوك أو إنستجرام في متصفحهم. لا يوفر وضع التصفح الخفي أو الخاص أي حماية ضد هذه التقنية المتقدمة للتنصت.

كيف تأخذ ياندكس المراقبة على أندرويد إلى مستوى آخر؟

طرحت ياندكس الروسية ياندكس نهج “التحكم-command-and-control” الذي يذكرنا بالبرامج الضارة. تتضمن تطبيقات مثل ياندكس مابز وملاح و متصفح AppMetrica SDK، الذي يرسل تعليمات تكوين مباشرة من خوادم ياندكس حول متى وكيف يبدأ نشاطها السري—أحياناً تنتظر لعدة أيام قبل تفعيلها لتفادي الكشف.

وجد الباحثون أن 84% مذهلة من المواقع المدمجة في ياندكس حاولت التواصل بتتبع مشابه من خلال localhost، متجاوزة بكثير مدى ميتا الذي أصبح مثيراً للقلق بالفعل.

ما الذي يجعل هذا الاستغلال على أندرويد مختلفاً عن التتبع العادي؟

على عكس متتبعات الويب العادية—التي تحجبها معظم المتصفحات أو يمكن محوها عن طريق مسح الكوكيز—تستغل هذه التقنية localhost نظام تشغيل أندرويد. إنها تتجاوز جميع إعدادات الخصوصية القياسية.

• مسح الكوكيز أو بيانات التصفح؟ لا تأثير.
• وضع التصفح الخفي/الخاص؟ لا يزال يتم تتبعه.
• غير مسجل في التطبيقات؟ لا يهم.
• إيقاف تتبع الموقع أو الإعلانات؟ غير ذي صلة.

تمزق هذه الطريقة أساس الخصوصية للمستخدم، حيث إنها لا تعتمد على المتصفح—فالتطبيق يتحدث مباشرةً إلى نشاطك على الويب دون أن تراك.

هل يمكن أن تسرق التطبيقات الخبيثة المزيد من البيانات؟

ما يثير القلق هو أن هذا يفتح الباب أمام أي تطبيق—سواء كان خبيثاً أو غير ذلك—للتجسس على نشاط الويب. قام الباحثون بإنشاء تطبيق أندرويد نموذج أولي يمكنه جمع سجلات التصفح في الوقت الحقيقي فقط عن طريق الاستماع على نفس منافذ الشبكة. تعني طريقة ياندكس غير المشفرة أن التطبيقات من الطرف الثالث يمكن أن تجمع سجلات مستخدمين مفصلة بسهولة مثيرة للقلق، وهو سيناريو كابوسي للخصوصية الرقمية.

هل كان لدى مالكي المواقع فكرة عن ذلك؟

تشير الأدلة إلى تزايد الارتباك والإحباط. أفاد المطورون الذين قاموا بدمج بيكسلات تتبع ميتا وياندكس على مواقعهم بوجود اتصالات غريبة بمنافذ الأجهزة المحلية—غالباً دون أي تحذير أو توثيق من ميتا أو ياندكس. تملأ المنتديات عبر الإنترنت بالأسئلة والشكاوى غير المجابة، حيث يعود بعضها إلى أواخر 2024. يبدو أن ميتا وياندكس كانا صامتين مع تصاعد الجدل.

كيف تستجيب المتصفحات والأنظمة الأساسية؟

بعد أن انفجر تقرير IMDEA، تحركت كبرى شركات المتصفحات بسرعة. أطلقت جوجل نسخة كروم 137 في مايو 2025، مانعة المنافذ الشبكية المُسيئة والحيل الرئيسية لإخفاء البيانات. الآن، تتبع المتصفحات الأخرى هذا النهج (موزيلا، أبل)، لكن الباحثين يحذرون من أن الإصلاحات الأعمق على مستوى النظام الأساسي ضرورية للقضاء على مثل هذه الاستغلالات في تحديثات التطبيقات المستقبلية.

من الجدير بالذكر، أنه اعتبارًا من 3 يونيو—بالضبط عندما أصبح البحث علنيًا—بدت ميتا وكأنها توقفت فجأة عن أساليبها الأكثر فظاعة في التتبع، رغم أنها لم تقدم أي بيان عام.

ماذا يمكن لمستخدمي أندرويد ومالكي المواقع فعله؟

حالياً، لا توجد حل بسيط. حتى تقوم شركات أندرويد ومشغلوا المتاجر بتطبيق ضوابط أقوى، فإن الطريقة الوحيدة لضمان الخصوصية هي تجنب مجموعة تطبيقات فيسبوك وإنستجرام وياندكس—خطوة جذرية ولكنها فعالة.

يحذر خبراء الأمن من أن العملاقة التكنولوجية يجب أن تعيد تصميم كيفية إدارة الوصول إلى localhost وأن تقوم بفحص دقيق لأدوات SDK الخاصة بالتتبع في بيئات التطبيقات الخاصة بها.

كيف تحمي نفسك من التتبع الخفي على الويب على أندرويد

1. راجع وأزل التطبيقات غير الضرورية بانتظام، خاصةً التطبيقات الاجتماعية وتطبيقات الملاحة من ميتا أو ياندكس.
2. ابقَ على اطلاع بأحدث إصدارات الأمان الخاصة بمتصفحك—اختر الخيارات التي تركز على الخصوصية.
3. استخدم أدوات الأمان أو الخصوصية من الطرف الثالث التي تراقب النشاط الشبكي المشبوه.
4. ادعم الباحثين المستقلين في مجال الخصوصية والمنظمات التي تساءل العملاقة التكنولوجية.

الأسئلة والأجوبة: أسئلة حارقة حول فضيحة تتبع أندرويد

س: هل يحمي وضع التصفح الخفي؟
ج: لا. تعمل هذه الطريقة للتتبع خارج ضوابط المتصفح، وتعمل بغض النظر عن إعدادات التصفح الخفي أو الخاص.

س: هل اعترفت ميتا أو ياندكس بهذا التتبع؟
ج: لا شيء رسمي حتى الآن. تظل كلا الشركتين صامتتين، على الرغم من الضجة التي أثيرت من المطورين والأدلة المتزايدة.

س: هل ستكون تحديثات المتصفح كافية؟
ج: إنها تساعد في حجب الطريقة الحالية ولكن قد لا توقف الاستغلالات المستقبلية. الإصلاحات على مستوى النظام الأساسي ضرورية بشكل عاجل.

س: هل يتأثر مستخدمو آيفون أو آيباد؟
ج: يستهدف هذا الهجوم بنية أندرويد، لكن الباحثين الأمنيين يحذرون جميع المنصات للمراجعة في إعدادات الأمان المحلية.

خصوصيتك تهم أكثر من أي وقت مضى. اتخذ خطوات لحماية بياناتك واطلب مزيد من الشفافية من التطبيقات التي تستخدمها!

• ✅ راجع وحد من أذونات التطبيقات—خاصة للتطبيقات الاجتماعية وتطبيقات الملاحة.
• ✅ حافظ على تحديث متصفحك ونظام التشغيل بأحدث ميزات الخصوصية.
• ✅ استخدم أدوات الأمان لمراقبة نشاط الشبكة للتطبيقات.
• ✅ ادعم الأبحاث الأمنية المستقلة التي تكافح من أجل حقوقك الرقمية.