Користувачі Android шоковані тим, що Facebook і Instagram ігнорують налаштування конфіденційності з таємним відстеженням—мільярди під загрозою
Додатки Facebook, Instagram та Yandex виявили приховане відстеження веб-переглядів Android—ігноруючи налаштування конфіденційності та режим інкогніто в 2025 році.
- 5.8M—веб-сайтів, які містять код відстеження Meta
- 3M—сайтів, які контролюються Yandex
- 84%—сайтів під контролем Yandex, які використовують дірку у localhost
- 3 червня 2025—відстеження Meta раптово зупинилося після розкриття
В уражаючому звіті дослідники відомого Інституту мереж IMDEA виявили масове порушення конфіденційності, яке торкнулося мільярдів користувачів Android у всьому світі. Facebook, Instagram та російський техногігант Yandex експлуатували приховані мережеві порти Android, щоб таємно контролювати веб-активність користувачів—навіть коли налаштування конфіденційності максимально активовані або режим інкогніто ввімкнено.
Як Facebook і Instagram шпіонує за веб-переглядом Android?
Дослідники виявили, що Android-додатки Facebook та Instagram таємно налаштовують фонові сервіси, які слухають на специфічних мережевих “портах”—думайте про них як про невидимі канали, налаштовані на перехоплення даних. Коли користувач відвідує сайт з універсальним пікселем відстеження Meta (присутнім на понад 5.8 мільйонах сайтів), підступний JavaScript передає куки браузера прямо через підключення localhost до вже встановленого додатка Facebook або Instagram, зв’язуючи цю веб-сесію з профілем користувача. Потім додаток передає збагачену історію перегляду назад на сервери Meta.
Приголомшливо, але ця практика обходить контроль конфіденційності Android і працює, навіть якщо користувачі очищують свою історію перегляду, вимикають куки або не входять у Facebook чи Instagram у своєму браузері. Режими інкогніто та приватного перегляду не забезпечують захист від цієї складної техніки прослуховування.
Як Yandex ще більше поглиблює спостереження за Android?
Російський гігант Yandex запровадив підхід “командного контролю”, схожий на шкідливе програмне забезпечення. Додатки як-от Yandex Maps, Navigator та Browser містять SDK AppMetrica, які надсилають налаштування безпосередньо з серверів Yandex про те, коли і як почати їхнє таємне відстеження—іноді чекаючи кілька днів, перш ніж активувати, щоб уникнути виявлення.
Дослідники виявили, що приголомшливі 84% сайтів, вбудованих в Yandex, намагалися здійснити подібне локальне відстеження, що значно перевищує вже тривожне охоплення Meta.
Чим ця експлуатація Android відрізняється від стандартного відстеження?
На відміну від звичайних веб-відстежувачів—які блокуються більшістю браузерів або очищуються шляхом видалення куків—ця техніка localhost експлуатує операційну систему Android. Вона обминає всі стандартні налаштування конфіденційності.
- Очищення куків або даних перегляду? Немає ефекту.
- Режим інкогніто/приватного перегляду? Все ще відстежується.
- Не увійшли в додатки? Це не важливо.
- Вимкнено відстеження місця розташування або реклами? Нерелевантно.
Цей метод зламує саму основу конфіденційності користувача, оскільки не залежить від браузера—це додаток, що безпосередньо спілкується з вашою веб-активністю в обхід контрольних механізмів.
Чи можуть шкідливі додатки вкрасти ще більше даних?
Тривожно, що це відкриває шлях для будь-якого додатку—шкідливого або іншого—шпигувати за веб-активністю. Дослідники створили прототип Android-додатку, який може збирати історію перегляду в реальному часі, просто прослуховуючи ті ж мережеві порти. Нешифрований підхід Yandex означає, що сторонні додатки можуть легко збирати детальні історії користувачів, що є жахливим сценарієм для цифрової конфіденційності.
Чи знали власники сайтів про це?
Докази вказують на широке непорозуміння та розчарування. Розробники, які інтегрували пікселі відстеження Meta та Yandex на своїх веб-сайтах, повідомили про дивні з’єднання з локальними портами пристроїв—часто без попередження чи документації від Meta або Yandex. Онлайн-форуми переповнені безвідповідними запитаннями та скаргами, деякі з яких датуються кінцем 2024 року. Схоже, Meta та Yandex мовчали, поки назрівала суперечка.
Як реагують браузери та платформи?
Після оприлюднення звіту IMDEA великі постачальники браузерів швидко зреагували. Google випустив версію Chrome 137 у травні 2025 року, заблокувавши зловживані мережеві порти та ключові трюки маскування даних. Інші браузери зараз слідують прикладу (Mozilla, Apple), але дослідники попереджають, що глибші реформи на рівні платформи є життєво важливими для боротьби з подібними зловживаннями в майбутніх оновленнях додатків.
Важливо, що станом на 3 червня—саме тоді, коли дослідження стало відомим—Meta, здавалося, раптово припинило свої найбільш грубі методи відстеження, хоча не надало жодної публічної заяви.
Що можуть зробити користувачі Android та власники сайтів?
Наразі немає простого рішення. Поки оператори Android та магазинів додатків не запровадять більш жорсткі контролі, єдиний спосіб гарантувати конфіденційність—це уникати додатків Facebook, Instagram і Yandex—радикальний, але ефективний крок.
Експерти з безпеки закликають технологічних гігантів переглянути, як управляється доступ до localhost, і ретельно перевіряти SDK для відстеження у своїх екосистемах додатків.
Як захистити себе від прихованого веб-відстеження на Android
- Регулярно перевіряйте та видаляйте непотрібні додатки, особливо соціальні та навігаційні додатки від Meta або Yandex.
- Будьте в курсі останніх безпекових оновлень свого браузера—обирайте варіанти, орієнтовані на конфіденційність.
- Використовуйте сторонні інструменти безпеки або конфіденційності, які контролюють підозрілі мережеві активності.
- Підтримуйте незалежних дослідників конфіденційності та організації, які притягують до відповідальності технологічних гігантів.
Q&A: Невідкладні запитання про скандал з відстеженням Android
Q: Чи захищає режим інкогніто мене?
A: Ні. Цей метод відстеження працює поза межами контролю браузера, незалежно від налаштувань режиму інкогніто або приватного перегляду.
Q: Чи визнали Meta або Yandex це відстеження?
A: Офіційно нічого не було сказано. Обидві компанії мовчать, незважаючи на повстання розробників та зростаючі докази.
Q: Чи вистачить оновлень браузера?
A: Вони допомагають блокувати нинішній метод, але можуть не зупинити майбутні зловживання. Якнайшвидші реформи на платформному рівні є терміново необхідними.
Q: Чи постраждали користувачі iPhone або iPad?
A: Ця атака націлена на архітектуру Android, але експерти з безпеки попереджають, що всі платформи повинні переглянути локальні налаштування безпеки.
Ваша конфіденційність важлива тепер більше ніж будь-коли. Вжийте заходів для захисту своїх даних та вимагайте більшої прозорості від додатків, які ви використовуєте!
- ✅ Перегляньте та обмежте дозволи додатків—особливо для соціальних та навігаційних додатків.
- ✅ Підтримуйте свій браузер і операційну систему в актуальному стані з останніми функціями конфіденційності.
- ✅ Використовуйте інструменти безпеки для моніторингу мережевої активності додатків.
- ✅ Підтримуйте незалежні дослідження безпеки, які борються за ваші цифрові права.
