خصوصية الأندرويد تحت الحصار: فيسبوك، إنستغرام، وياندكس متهمون بجمع بيانات تصفح المستخدمين سراً عبر ثغرات خفية
كشفت أبحاث جديدة أن فيسبوك، إنستغرام، وياندكس تتعقب سراً عادات تصفح مستخدمي الأندرويد، متجاوزةً ضوابط الخصوصية ووضع التصفح الخفي.
- 78% من أعلى المواقع التي تحتوي على ميتا بيكسل تحاول نقل البيانات سراً على الأندرويد
- 84% من المواقع التي تتعقبها ياندكس تستخدم اتصالات محلية أكثر عدوانية
- 8.8 مليون+ موقع ويب يدمج رمز تعقب ميتا أو ياندكس على مستوى العالم
- مليارات من أجهزة الأندرويد في خطر المراقبة عبر الأنظمة الأساسية
كشفت تقرير مدوي من معهد IMDEA للشبكات عن شبكة معقدة من المراقبة على الأندرويد تديرها أكبر منصات التكنولوجيا في العالم. فيسبوك وإنستغرام، المملوكة لـ ميتا، بالإضافة إلى العملاق الروسي ياندكس، متهمان بتعقب مليارات مستخدمي الأندرويد سراً—حتى أولئك الذين يعملون في وضع التصفح الخفي أو مع إعدادات الخصوصية مفعلة.
تحت السطح، استغلت هذه التطبيقات الشعبية منافذ الشبكة المخفية لجمع بيانات تصفح الويب، وربطها بملفات تعريف المستخدمين المسجلين دون علمهم أو موافقتهم.
أسئلة وأجوبة: ماذا اكتشف الباحثون بشأن تتبع تطبيقات الأندرويد؟
بدلاً من الاعتماد على ملفات تعريف الارتباط الموجودة في المتصفح والتي يمكن حذفها بسهولة، استفادت فيسبوك، إنستغرام، وياندكس من ميزات أندرويد الغامضة. عند تثبيتها، قامت تطبيقاتهم بإنشاء “مستمعين” في الخلفية بهدوء—على غرار الراديو الخاص—على منافذ الشبكة للجهاز. بينما زار المستخدمون غير المدركين ملايين المواقع المليئة ببيكسلات تتبع ميتا وياندكس، قام كود JavaScript باستخدام الهوية والمعلومات الشخصية للمستخدمين، وإرسال البيانات عبر اتصالات localhost مباشرة إلى التطبيقات التي تعمل بهدوء في الخلفية.
استخدمت تطبيقات ميتا حيل ذكية مثل “SDP munging” في WebRTC لإخفاء هذا النشاط، بينما كانت طريقة ياندكس أكثر جرأة، حيث استخدمت طلبات HTTP غير مشفرة للعمل كنظام “تحكم وأوامر” للبرمجيات الخبيثة، وفقًا للباحثين. انتظرت تطبيقات ياندكس عمدًا عدة أيام بعد التثبيت لتفعيل التتبع—على الأرجح لتجنب الاكتشاف.
كم عدد المستخدمين والمواقع المتأثرة؟
حجم القضية هائل: أكثر من 5.8 مليون موقع يحتوي على بيكسل تتبع ميتا، ويتواجد ياندكس ميتريكا على 3 مليون موقع إضافي. وجد الباحثون أنه في أعلى 100,000 موقع في العالم، حاول ما يقرب من 8 من كل 10 تواصل محلي سري على أجهزة الأندرويد.
نتيجة لذلك، قد يكون مليارات مستخدمي الأندرويد في جميع أنحاء العالم قد ارتبطت جلسات تصفحهم الخاصة—بما في ذلك الأنشطة في وضع التصفح الخفي أو مع تفعيل حماية الخصوصية—مباشرةً بهوياتهم المسجلة في التطبيقات.
كيف يختلف هذا عن تتبع الويب التقليدي؟
تعتمد أدوات تتبع الإعلانات التقليدية على ملفات تعريف الارتباط في المتصفح أو آليات التخزين التي يمكن للمستخدمين مسحها، أو تجنبها، أو حجبها—خاصةً مع المتصفحات التي تركز على الخصوصية مثل فايرفوكس وسفاري. لكن هذه التقنيات في الأندرويد تعمل على مستوى نظام التشغيل، متجاوزةً ضوابط المتصفح، ووضع التصفح الخاص، وحتى قيود إعدادات الموقع. تستمر المراقبة حتى لو لم يكن المستخدمون مسجلين الدخول إلى فيسبوك أو إنستغرام في متصفحهم.
هل يمكن أن تفتح هذه الثغرات الباب أمام القراصنة؟
نعم، وإليك الجزء الأكثر إثارة للقلق: قامت مجموعة البحث ببناء تطبيق نموذجي يمكن أن يستفيد من هذه الثغرة. أي تطبيق خبيث يستخدم طريقة ياندكس يمكن أن يجمع تاريخ تصفح المستخدم بالكامل في الوقت الحقيقي—دون الحاجة لموافقة المستخدم. إن عدم وجود تشفير في نظام ياندكس يجعل الأمر أكثر خطرًا.
هل أبلغت ميتا أو ياندكس المستخدمين أو المطورين؟
ظهر أن معظم مالكي المواقع غير مدركين لهذه التحويلات السرية للبيانات. وقد وثقت المنتديات العامة للمطورين منذ فترة طويلة تقارير مربكة حول اتصالات بيكسلات ميتا بالمنافذ المحلية، مع قليل أو لا شيء من الاعتراف من كل من ميتا أو ياندكس في توثيقهم أو ردود الدعم.
ماذا يتم فعله لإيقاف هذا؟
أصبح البحث علنيًا في أوائل يونيو 2025. وبشكل شبه آني، بدا أن ميتا توقفت عن أساليبها الخفية في التتبع—توقف جمع بيانات فيسبوك السرية في اليوم الذي انفجرت فيه الفضيحة. استجابةً لذلك، منع جوجل كروم (الإصدار 137، الذي تم إصداره في مايو 2025) الآن المنافذ المستغلة ويعطل الحيل المستخدمة في WebRTC. تتبع شركات متصفح أخرى هذا النهج.
ومع ذلك، كما أوضح نارثيو فاليا-رودريغيز من IMDEA، هذه مجرد حل مؤقت—المشكلة الجذرية هي عدم وجود تحكم على اتصالات localhost في أندرويد. هناك حاجة إلى تغييرات على مستوى المنصة وسياسات صارمة لمتاجر التطبيقات لضمان حماية دائمة للمستخدمين.
كيف يمكن لمستخدمي أندرويد حماية أنفسهم الآن؟
حتى تصل وسائل الحماية على مستوى المنصة، يوصي الباحثون بإلغاء تثبيت فيسبوك، إنستغرام، وجميع التطبيقات المعنية من ياندكس واستخدام المتصفحات التي تركز على الخصوصية. لكن بالنسبة للكثيرين، يعتبر هذا تضحيات غير عملية تعكس مدى تجاوز خيارات المستخدم وموافقته في بيئة التطبيقات الحالية.
كيفية: الدفاع عن خصوصية تصفحك على الأندرويد
- قم بإزالة أو تعطيل التطبيقات التي لا تثق بها، وخاصة تطبيقات فيسبوك، إنستغرام، وياندكس
- احتفظ بمتصفحك—وبجهازك—محدثًا إلى أحدث إصدار
- استخدم متصفحات تركز على الخصوصية تتميز بميزات صارمة لمكافحة التتبع
- راقب أبحاث المطورين، وأخبار الخصوصية، والمراجعات في وجهات موثوقة مثل Ars Technica وWired
- تجنب تسجيل الدخول إلى التطبيقات الحساسة أثناء التصفح، أو استخدم جهازًا مخصصًا
احمِ بياناتك—ابقَ مطلعًا، تصرف الآن!
- ✔ قم بتحديث متصفح الأندرويد الخاص بك (ابحث عن كروم 137 أو أحدث)
- ✔ قم بإلغاء تثبيت التطبيقات المشبوهة أو غير الموثوقة
- ✔ انتقل إلى أدوات تركز على الخصوصية حيثما كان ذلك ممكنًا
- ✔ دعم التقارير العلمية المستقلة حتى تستمر التحقيقات مثل هذه
