Android Privatliv Under Angreb: Facebook, Instagram og Yandex Fanget i Hemmeligt At Indsamle Brugerdata via Skjulte Bagdøre
Ny forskning afslører, at Facebook, Instagram og Yandex hemmeligt sporede Android-brugeres webvaner og omgik privatlivsindstillinger og inkognito-tilstand.
- 78% af top-websteder med Meta Pixel forsøger hemmelig dataoverførsel på Android
- 84% af Yandex-sporede websteder bruger endnu mere aggressiv lokal kommunikation
- 8.8 millioner+ websteder indlejrer Meta eller Yandex sporing kode globalt
- Milliarder af Android-enheder i risiko for krydsplatformsovervågning
En chokerende rapport fra IMDEA Networks Institute har afsløret et sofistikeret netværk af Android-overvågning orkestreret af verdens største teknologiplatforme. Facebook og Instagram, ejet af Meta, sammen med den russiske gigant Yandex, er impliceret i hemmeligt at spore milliarder af Android-brugere — endda dem der opererer i inkognito-tilstand eller med aktiverede privatlivsindstillinger.
Under overfladen har disse populære apps udnyttet skjulte netværksporte til at opsamle web-browsingdata, som de knytter til brugernes loggede profiler uden deres viden eller samtykke.
Q&A: Hvad Har Forskere Opdaget Om Android App Sporing?
I stedet for at stole på let at slette browsercookies, udnyttede Facebook, Instagram og Yandex obskure Android-funktioner. Når deres apps er installeret, opsætter de stille baggrunds “lyttere” — ligesom private radioer — på enhedens netværksporte. Mens intetanende brugere besøgte millioner af websteder med Meta og Yandex tracking pixels, sugs JavaScript-kode stille brugeridentifikatorer og cookies, som sender data via localhost-forbindelser direkte ind i de apps, der kører stille i baggrunden.
Metas apps brugte smarte WebRTC “SDP munging” tricks til at skjule denne aktivitet, mens Yandex’ metode var endnu mere åbenlys, idet de brugte ukrypterede HTTP-forespørgsler til at fungere som et malware “command-and-control” system, ifølge forskerne. Yandex-apps ventede bevidst flere dage efter installation for at aktivere sporing — sandsynligvis for at undgå opdagelse.
Hvor Mange Brugere og Websteder Er Berørt?
Omfanget er enormt: Over 5,8 millioner websteder inkluderer Metas tracking pixel, og Yandex Metrica er til stede på 3 millioner flere. Forskere fandt, at på verdens 100.000 bedste websteder, forsøgte næsten 8 ud af 10 hemmelig localhost kommunikation på Android-enheder.
Som et resultat kan milliarder af Android-brugere globalt have deres private browsing-sessioner – herunder aktivitet i inkognito eller med aktiverede privatlivsbeskyttelser – direkte knyttet til deres loggede app-identiteter.
Hvordan Er Dette Forskelligt Fra Regulær Web Tracking?
Traditionelle annonce-trackere er afhængige af browsercookies eller opbevaringsmekanismer, som brugere kan slette, undgå eller blokere — især med privatlivsfokuserede browsere som Firefox og Safari. Men disse Android-teknikker opererer på operativsystemniveau og omgår browserkontroller, privat browsing og endda placeringindstillingsbegrænsninger. Overvågningen fortsætter selvom brugerne ikke er logget ind på Facebook eller Instagram i deres browser.
Kan Dette Åbne Døren For Hackere?
Ja, og her er den mest alarmerende del: Forskningsteamet byggede en proof-of-concept app, der kunne ride med på denne localhost-omgåelse. Enhver ondsindet app, der bruger Yandex’ metode, kunne på realtid indsamle brugernes komplette browsinghistorik — uden brugerens samtykke. Manglen på kryptering i Yandex’ system gør det endnu mere farligt.
Informede Meta eller Yandex Brugerne eller Udviklerne?
De fleste webstedsejere syntes ikke at være klar over disse hemmelige dataoverførsler. Offentlige udviklerfora har længe dokumenteret forvirrede rapporter om Meta pixels, der forbinder til lokale porte, med lidt eller ingen anerkendelse fra hverken Meta eller Yandex i deres dokumentation eller support svar.
Hvad Bliver Der Givet For At Stoppe Dette?
Forskningen blev offentliggjort i begyndelsen af juni 2025. Næsten med det samme så det ud til, at Meta stoppede sine hemmelige tracking-taktikker — Facebooks hemmelige dataculektion stoppede den dag, skandalen brød ud. Som svar blokerer Google Chrome (version 137, udgivet maj 2025) nu de udnyttede porte og deaktiverer WebRTC-tricks. Andre browserproducenter følger trop.
Men som IMDEAs Narseo Vallina-Rodriguez forklarer, er dette kun en midlertidig løsning – det grundlæggende problem er Androids mangel på kontrol over localhost-kommunikation. Fremtidige platform-niveau ændringer og strengere app-store politikker er nødvendige for varig brugerbeskyttelse.
Hvordan Kan Android Brugere Beskytte Sig Selv Nu?
Indtil der kommer platform-niveau sikkerhedsforanstaltninger, anbefaler forskerne at afinstallere Facebook, Instagram og alle berørte Yandex-apps og bruge privatlivsorienterede browsere. Men for mange er dette et upraktisk offer, der fremhæver i hvor høj grad brugerens valg og samtykke er blevet omgået i nutidens app-økosystem.
Sådan: Forsvar Dit Browsing Privatliv På Android
- Fjern eller deaktiver apps, du ikke stoler på, især Facebook, Instagram og Yandex-mærkede apps
- Hold din browser — og din enhed — opdateret til den nyeste version
- Brug privatlivsfokuserede browsere med strenge anti-tracking funktioner
- Overvåg udviklerforskning, privatlivsnyheder og anmeldelser på troværdige steder som Ars Technica og Wired
- Undgå at logge ind på følsomme apps, mens du browser, eller brug en dedikeret enhed
Beskyt Dine Data — Hold Dig Informeret, Handler Nu!
- ✔ Opdater din Android-browser (se efter Chrome 137 eller senere)
- ✔ Afinstaller mistænkelige eller utroværdige apps
- ✔ Skift til privatlivsorienterede værktøjer, hvor det er muligt
- ✔ Støt uafhængig videnskabsrapportering, så undersøgelser som denne kan fortsætte