Android súkromie pod útokom: Facebook, Instagram a Yandex sa tajne zaoberajú zhromažďovaním údajov o prehliadaní používateľov prostredníctvom skrytých zadných dverí
Nový výskum odhaľuje, že Facebook, Instagram a Yandex tajne sledovali webové návyky používateľov Android, obchádzajúc súkromné nastavenia a inkognito režim.
- 78% najlepších stránok s Meta Pixel sa pokúša o skryté ručenie údajmi na Android
- 84% stránok sledovaných Yandexom používa ešte agresívnejšiu miestnu komunikáciu
- 8,8 milióna+ webových stránok globálne vkladajú sledovacie kódy Meta alebo Yandex
- Milióny zariadení Android sú v nebezpečenstve krížového sledovania
Zásadná správa od IMDEA Networks Institute odhalila sofistikovanú sieť sledovania Androidu organizovanú najväčšími technologickými platformami na svete. Facebook a Instagram, ktoré vlastní Meta, spolu s ruským gigantom Yandex, sú zapletené do tajného sledovania miliárd používateľov Android — vrátane tých, ktorí pracujú v inkognito režime alebo s povolenými nastaveniami súkromia.
Týmto populárnym aplikáciám sa podarilo využiť skryté sieťové porty na zbieranie údajov o prehliadaní webu a prepojiť ich s prihlásenými profilmi používateľov bez ich vedomia alebo súhlasu.
Q&A: Čo objavili výskumníci o sledovaní aplikácií Android?
Namiesto spoliehania sa na ľahko odstrániteľné cookies prehliadača, Facebook, Instagram a Yandex využili nejasné funkcie Androidu. Po inštalácii ich aplikácie ticho nastavili na pozadí „prijímače“ — podobné súkromným rádiám — na sieťových portoch zariadenia. Keď bezpodmieneční používatelia navštívili milióny webových stránok s pixelmi sledovania Meta a Yandex, JavaScriptový kód ticho odčerpával identifikátory používateľov a cookies, smerujúc údaje cez localhostové pripojenia priamo do týchto aplikácií, ktoré ticho bežali na pozadí.
Aplikácie Meta použili šikovné triky “SDP mungovania” WebRTC na skrytie tejto aktivity, zatiaľ čo metóda Yandexu bola ešte odvážnejšia, keď používala nešifrované HTTP požiadavky na fungovanie ako systém “command-and-control” malvéru, podľa výskumníkov. Aplikácie Yandexu úmyselne čakali dni po inštalácii, aby aktivovali sledovanie — pravdepodobne aby sa vyhli odhaleniu.
Koľko používateľov a stránok je ovplyvnených?
Rozsah je obrovský: Viac ako 5,8 milióna webových stránok obsahuje sledovací pixel Meta a Yandex Metrica je prítomná na ďalších 3 miliónoch. Výskumníci zistili, že na 100 000 najlepších svetových stránkach sa takmer 8 z 10 pokúsilo o tajnú localhost komunikáciu na zariadeniach Android.
V dôsledku toho miliardy používateľov Android na celom svete môžu mať svoje súkromné prehliadanie — vrátane aktivity v inkognito alebo s povolenou ochranou súkromia — priamo prepojené na svoje prihlásené identity aplikácií.
Ako sa to líši od bežného webového sledovania?
Tradiční sledovače reklám sa spoliehajú na cookies prehliadača alebo mechanizmy ukladania, ktoré môžu používatelia vymazať, vyhnúť sa im alebo blokovať ich — najmä s prehliadačmi zameranými na súkromie ako Firefox a Safari. Ale tieto techniky Android fungujú na úrovni operačného systému a obchádzajú ovládacie prvky prehliadača, súkromné prehliadanie a dokonca aj obmedzenia umiestnenia. Sledovanie pokračuje aj v prípade, ak nie sú používatelia prihlásení na Facebooku alebo Instagrame vo svojom prehliadači.
Môže to otvoriť dvere pre hackerov?
Áno, a tu je najalarmujúcejšia časť: Výskumný tím vybudoval aplikáciu na overenie konceptu, ktorá by mohla využiť túto medzeru v localhoste. Akákolvek škodlivá aplikácia používajúca metódu Yandexu by mohla v reálnom čase zbierať kompletnú históriu prehliadania používateľov — nepotrebujú na to súhlas používateľa. Nedostatok šifrovania v systéme Yandex robí túto situáciu ešte nebezpečnejšou.
Informovali Meta alebo Yandex používateľov alebo vývojárov?
Väčšina majiteľov webových stránok sa zdala byť neinformovaná o týchto tajných prevodoch údajov. Verejné vývojárske fóra už dlhodobo dokumentujú zmätené správy o pixeloch Meta, ktoré sa pripájajú k miestnym portom, pričom zo strany Meta ani Yandex sa stretli s malým až žiadnym uznaním v ich dokumentácii alebo odpovediach na podporu.
Čo sa robí na zastavenie tohto?
Výskum sa stal verejným začiatkom júna 2025. Takmer okamžite Meta zdalo sa, že zastavilo svoje skryté sledovacie taktiky — tajné zhromažďovanie údajov Facebooku prestalo v deň, keď sa škandál vyhrotil. V reakcii na to Google Chrome (verzia 137, vydaná v máji 2025) teraz blokuje využité porty a zakazuje triky WebRTC. Iní výrobcovia prehliadačov idú v rovnakom duchu.
Napriek tomu, ako vysvetľuje Narseo Vallina-Rodriguez z IMDEA, toto je len dočasné riešenie — koreňový problém spočíva v nedostatku kontroly Androidu nad localhostovými komunikáciami. Budúce zmeny na úrovni platformy a prísnejšie politiky obchodov s aplikáciami sú potrebné pre trvalú ochranu používateľov.
Ako sa môžu používatelia Androidu teraz chrániť?
Kým platformové zabezpečenia neprídu, výskumníci odporúčajú odinštalovať Facebook, Instagram a všetky postihnuté aplikácie Yandex a používať prehliadače zamerané na súkromie. Ale pre mnohých je to nepraktická obeta, ktorá zdôrazňuje, do akej miery boli používateľské rozhodovania a súhlas obchádzané v dnešnom ekosystéme aplikácií.
Ako na to: Ochrana súkromia pri prehliadaní na Android
- Odstráňte alebo zakažte aplikácie, ktorým nedôverujete, najmä aplikácie značky Facebook, Instagram a Yandex
- Udržujte svoj prehliadač — a svoje zariadenie — aktuálne s najnovšou verziou
- Používajte prehliadače orientované na súkromie s prísnymi funkciami proti sledovaniu
- Sledujte výskum vývojárov, správy o súkromí a recenzie na renomovaných miestach ako Ars Technica a Wired
- Vyhnite sa prihlasovaniu do citlivých aplikácií počas prehliadania alebo použite vyhradené zariadenie
Chráňte svoje údaje — zostaňte informovaní, konajte teraz!
- ✔ Aktualizujte svoj Android prehliadač (hľadajte Chrome 137 alebo novší)
- ✔ Odinštalujte podozrivé alebo nedôveryhodné aplikácie
- ✔ Prejdite na nástroje orientované na súkromie, kde je to možné
- ✔ Podporujte nezávislé reportovanie v oblasti vedy, aby takéto vyšetrovanie mohlo pokračovať
