Занятно, Яндекс и Мета нашли очень хитрый способ обходить сендбоксинг на андроиде и передавать пользовательские токены для отслеживания между браузерами и приложениями, исследование доступно на localmess.github.io.
Рекап:
Международная группа исследователей — IMDEA Networks, Radboud University, KU Leuven и другие — раскрыла новую схему отслеживания, позволяющую приложениям Facebook, Instagram и ряду сервисов «Яндекса» (Карты, Навигатор, Браузер, Поиск и др.) «подслушивать» трафик мобильного браузера через `localhost`-порты. Скрипты Meta Pixel и Yandex Metrica, встроенные в миллионы сайтов, пересылают куки и другие метаданные на эти порты, где их принимает фоновый сервис нативного приложения. Так веб-кука (\_fbp у Meta, AAID и UUID у «Яндекса») связывается с учётной записью пользователя в приложении, что де-анонимизирует посещения сайтов.
Как это работает
• Meta: Pixel-скрипт передаёт куку
• «Яндекс»: Metrica посылает HTTP/HTTPS-запросы на
Масштаб проблемы
Согласно авторам работы, Meta Pixel присутствует как минимум на 2,4 млн сайтов, а Yandex Metrica — на 575 тыс. При сканировании топ-100 000 доменов попытки связи с localhost зафиксированы у ≈ 78 % сайтов с Pixel и ≈ 84 % сайтов с Metrica до получения cookie-согласия.
Почему это опасно
• Блокировка куков, режим инкогнито, сброс рекламы-ID и даже запрет трекинга в настройках Android не мешают передаче данных.
• Любое стороннее приложение, слушающее те же порты, способно перехватить URL-ы посещённых сайтов (доказано PoC-утилитой исследователей).
Реакция индустрии
• 3 июня Meta почти полностью убрала код пересылки
• Google в Chrome 137 заблокировал проблемные порты и отключил используемый Meta метод «SDP munging»; Brave делает это с 2022 г., DuckDuckGo расширил блок-лист, Firefox готовит патч.
Что дальше
Исследователи призывают:
1. Ввести в браузерах явное уведомление о попытке доступа к
2. Ужесточить политику Google Play в части фонового прослушивания портов.
3. Веб-мастерам проверить, нужны ли им трекеры, которые нарушают ожидания пользователей, и отключить передачу без согласия.
Пока Meta и «Яндекс» публично не прокомментировали выводы исследователей.
Рекап:
Международная группа исследователей — IMDEA Networks, Radboud University, KU Leuven и другие — раскрыла новую схему отслеживания, позволяющую приложениям Facebook, Instagram и ряду сервисов «Яндекса» (Карты, Навигатор, Браузер, Поиск и др.) «подслушивать» трафик мобильного браузера через `localhost`-порты. Скрипты Meta Pixel и Yandex Metrica, встроенные в миллионы сайтов, пересылают куки и другие метаданные на эти порты, где их принимает фоновый сервис нативного приложения. Так веб-кука (\_fbp у Meta, AAID и UUID у «Яндекса») связывается с учётной записью пользователя в приложении, что де-анонимизирует посещения сайтов.
Как это работает
• Meta: Pixel-скрипт передаёт куку
_fbp через WebRTC-STUN, вписывая данные в поле ice-ufrag; пакет уходит на локальные UDP-порты 12580–12585. Приложения Facebook и Instagram (версии 515.0.0.23.90 и 382.0.0.43.84) слушают эти порты и отправляют полученный ID на GraphQL-эндпоинт Meta вместе с постоянными идентификаторами аккаунта. • «Яндекс»: Metrica посылает HTTP/HTTPS-запросы на
127.0.0.1: 29009/29010/30102/30103. Приложение отвечает бинарным B64-пакетом с AAID и другими ID, которые затем сам JS-код Metrica отправляет на серверы mc.yango.com. Такая техника применяется как минимум с 2017 года. Масштаб проблемы
Согласно авторам работы, Meta Pixel присутствует как минимум на 2,4 млн сайтов, а Yandex Metrica — на 575 тыс. При сканировании топ-100 000 доменов попытки связи с localhost зафиксированы у ≈ 78 % сайтов с Pixel и ≈ 84 % сайтов с Metrica до получения cookie-согласия.
Почему это опасно
• Блокировка куков, режим инкогнито, сброс рекламы-ID и даже запрет трекинга в настройках Android не мешают передаче данных.
• Любое стороннее приложение, слушающее те же порты, способно перехватить URL-ы посещённых сайтов (доказано PoC-утилитой исследователей).
Реакция индустрии
• 3 июня Meta почти полностью убрала код пересылки
_fbp на localhost; пакеты отправляться перестали. • Google в Chrome 137 заблокировал проблемные порты и отключил используемый Meta метод «SDP munging»; Brave делает это с 2022 г., DuckDuckGo расширил блок-лист, Firefox готовит патч.
Что дальше
Исследователи призывают:
1. Ввести в браузерах явное уведомление о попытке доступа к
localhost.2. Ужесточить политику Google Play в части фонового прослушивания портов.
3. Веб-мастерам проверить, нужны ли им трекеры, которые нарушают ожидания пользователей, и отключить передачу без согласия.
Пока Meta и «Яндекс» публично не прокомментировали выводы исследователей.
Источники:
https://localmess.github.io/
Covert Web-to-App Tracking via Localhost on Android
https://arstechnica.com/security/2025/06/meta-and-yandex-are-de-anonymizing-android-users-web-browsing-identifiers/
Meta and Yandex are de-anonymizing Android users' web browsing ...
https://elpais.com/tecnologia/2025-06-03/este-es-el-metodo-oculto-con-el-que-meta-rastrea-sin-permiso-la-navegacion-en-moviles-tambien-en-modo-incognito-o-con-vpn.html
Este es el método oculto con el que Meta rastrea sin permiso la navegación en móviles (también en modo incógnito o con VPN)
https://www.theregister.com/2025/06/03/meta_pauses_android_tracking_tech/
Meta Pixel halts Android localhost tracking after disclosure
https://www.androidpolice.com/meta-yandex-apps-de-anonymize-localhost-tracking/
Researchers catch Meta apps abusing Android to track sensitive ...
Lex. Shared
Занятно, Яндекс и Мета нашли очень хитрый способ обходить сендбоксинг на андроиде и передавать пользовательские токены для отслеживания между браузерами и приложениями, исследование доступно на localmess.github.io. Рекап: Международная группа исследователей…
Чтобы вы понимали это получается и в инкогнито можно связать пользователя с обычной сессией и в целом с VPN
Блен как же хочется
https://youtu.be/knkC6djMhA0
https://youtu.be/knkC6djMhA0
YouTube
『SILENT HILL f』発売日アナウンストレーラー!女子高生が鉄パイプや薙刀で恐怖に立ち向かう?
昭和の日本が舞台となるホラーゲーム『SILENT HILL f』の最新トレーラーが公開され、9月25日にPS5/Xbox Series X|S/PC向けに発売されることが明らかになった。
―――――――――――
IGN JAPAN : http://jp.ign.com/
Twitter : https://twitter.com/IGNJapan
Facebook : https://www.facebook.com/IGNJapan
コメント投稿ルール:http://jp.ign.com/ign…
―――――――――――
IGN JAPAN : http://jp.ign.com/
Twitter : https://twitter.com/IGNJapan
Facebook : https://www.facebook.com/IGNJapan
コメント投稿ルール:http://jp.ign.com/ign…
Тем временем в России, чуваки продающие за деньги форки известных дистрибутивов Линуха попросили обязать всех покупать их в комплекте с оборудованием, а то чё как лохи сидим
Бизнес предложил обязать производителей техники предустанавливать российские операционные системы (ОС) на ноутбуки, продающиеся в нашей стране. С таким предложением управляющий партнер IТ-холдинга Fplus Алексей Мельников выступил на пресс-завтраке «100 шагов к национальным чемпионам», организованном Минцифры и «Ведомостями» в рамках форума ЦИПР-2025. Министр цифрового развития Максут Шадаев поддержал эту идею, отметив, что реализовать ее «довольно легко», если она поможет увеличить долю отечественных решений.
Мельников предложил ввести правило, что все ноутбуки, поставляемые в розницу, включая площадки вроде DNS, Ozon и Wildberries, должны иметь как минимум одну российскую ОС. В числе возможных вариантов он назвал «Альт» (разработчик – «Базальт СПО»), Astra Linux (ГК «Астра») и Red OS («Ред софт»). По его словам, наличие Windows допустимо, но обязательной должна быть именно отечественная операционка. «Ничего не случится – ни инфляции, ни бунта», – подчеркнул Мельников.
Ведомости
Окей, мы теперь без шуточек про волосатика не начинаем!
Вкрутили карплей в болидик
Вкрутили карплей в болидик