Meta* и Yandex деанонимизируют Android-пользователей через web-браузеры

Недавние исследования специалистов из Radboud University, KU Leuven и IMDEA Networks показали, что Meta (Facebook, Instagram) и Yandex смогли связывать анонимную web-активность в браузерах с учётными записями пользователей в Android-приложениях.

1. На сайте используется Meta Pixel или Yandex Metrica — популярный скрипт аналитики, размещённый на многих страницах.
2. Когда в браузере загружен скрипт, он инициирует соединение с локальным портом, слушаемым соответствующим нативным приложением.
3. Данные браузера (cookies типа _fbp, метаданные, истории переходов) передаются приложению — например, Facebook, Instagram, Yandex.
4. Приложение связывает полученные идентификаторы с учётной записью пользователя, деанонимизируя web-активность.

Так можно отслеживать действия в браузере, даже в режиме “инкогнито” или при использовании VPN.

🛑 Почему это опасно

* Сломано разделение между приложениями и браузером в Android, что равносильно побегу из песочницы.
* Механизм трудно обнаружить: соединения через localhost активируются только в нужный момент.
* Опасная эскалация: даже очистка куков или инкогнито не спасают, браузер отправляет данные напрямую приложению.

⏳ История

* Yandex использует подобную схему с 2017 года.
* Meta начала применять метод с сентября 2024 года.

После публикации исследований Meta временно приостановила практику и ведёт обсуждение с Google. Yandex заявил о прекращении такой активности.

🔧 Что делать пользователям Android

* Перейти на браузеры с высоким уровнем приватности: Vanadium, Brave или Firefox с блокировщиками трекеров.
* Избегать открытия ссылок из приложений Meta/Yandex — сайты загружаются во встроенных браузерах с уязвимым поведением.
* Удалить приложения Meta и Yandex либо временно их отключить.
* Рассмотреть использование AOSP-версий Android или /e/OS, где встроенные сервисы Google и Meta отсутствуют.

Итоги

* Метод скрытный, сложный в обнаружении и использует внутренние соединения между браузером и приложением.
* Находит обход системных ограничений Android и сохраняет идентификаторы при любой очистке данных.
* Google уже предпринимает меры, а некоторые браузеры блокируют метод на уровне логики.
* Пользователям рекомендуется переходить на защищённые браузеры, запрещать встроенные веб-просмотры и по возможности отказываться от официальных приложений, собирающих личные данные.

*Meta Запрещена на территории РФ и слава Богу

Источник