Miljoonat Android-käyttäjät salaa seurannassa: Shokkiuutinen paljastaa Facebookin, Instagramin ja Yandexin piilotetut vakoilutaktiikat

Androidin yksityisyys uhattuna: Facebook, Instagram ja Yandex salaa käyttäjien selaustietoja piilotettujen takaovien kautta

Uusi tutkimus paljastaa, että Facebook, Instagram ja Yandex seurasivat salaa Android-käyttäjien verkkotottumuksia ohittaen tietosuojavalvonnan ja yksityistilan.

IMDEA Networks Institute:n räjäyttävä raportti on paljastanut monimutkaisen Android-valvonnan verkoston, jota ohjaavat maailman suurimmat teknologiayritykset. Facebook ja Instagram, joiden omistaa Meta, yhdessä venäläisen jättiläisen Yandex:n kanssa, ovat osallisia miljardien Android-käyttäjien salaisessa seuraamisessa – jopa niillä, jotka käyttävät yksityistilaa tai joilla on tietosuoja-asetukset käytössä.

Tarkastettaessa tarkemmin, nämä suositut sovellukset ovat hyödyntäneet piilotettuja verkkosatamia kerätäkseen verkkoselaustietoja, ja yhdistäneet ne käyttäjien kirjautuneisiin profiileihin ilman heidän tietämystään tai suostumustaan.

K&A: Mitä tutkijat löysivät Android-sovellusten seurannasta?

Sen sijaan, että olisivat luottaneet helposti poistettaviin selaimen evästeisiin, Facebook, Instagram ja Yandex hyödyntivät epäselviä Android-ominaisuuksia. Asennettaessa niiden sovellukset asettivat hiljaa taustalle “kuuntelijoita” – kuin yksityisiä radioita – laitteen verkkosatamiin. Kun tietämättömät käyttäjät kävivät miljoonilla verkkosivustoilla, joilla oli Meta- ja Yandex-seurantapikseleitä, JavaScript-koodi hiljaa keräsi käyttäjätunnisteita ja evästeitä, ohjaten tiedot localhost-yhteyksien kautta suoraan taustalla hiljaa toimiviin sovelluksiin.

Metan sovellukset käyttivät ovelia WebRTC “SDP munging” -temppuja piilottaakseen tämän toiminnan, kun taas Yandexin menetelmä oli vieläkin röyhkeämpi, sillä se käytti salaamattomia HTTP-pyyntöjä toimiakseen kuin haittaohjelmien “komentojen ja ohjauksen” järjestelmä, tutkijat kertoivat. Yandexin sovellukset odottivat tarkoituksella useita päiviä asennuksen jälkeen aktivoidakseen seurannan – todennäköisesti välttääkseen havaitsemisen.

Kuinka monta käyttäjää ja sivustoa on vaikuttanut?

Laajuus on valtava: yli 5.8 miljoonaa verkkosivustoa sisältää Metan seurantapikselin, ja Yandex Metrica on läsnä 3 miljoonassa muussa. Tutkijat havaitsivat, että maailman 100 000 suosituimmasta verkkosivustosta lähes 8 kymmenestä yritti salakavalasti localhost-viestintää Android-laitteilla.

Tuloksena miljardit Android-käyttäjät ympäri maailman voisivat kytkeä yksityiset selaustilansa – mukaan lukien toiminnot yksityistilassa tai tietosuojakytkimet päällä – suoraan heidän kirjautuneisiin sovellustunnuksiinsa.

Kuinka tämä poikkeaa tavallisesta verkkoseurannasta?

Perinteiset mainosseurannat luottavat selaimen evästeisiin tai tallennusmekanismeihin, jotka käyttäjät voivat poistaa, välttää tai estää – erityisesti yksityisuuteen keskittyvien selainten, kuten Firefox ja Safari kanssa. Mutta nämä Android-tekniikat toimivat käyttöjärjestelmätasolla, ohittaen selaimen valvonnan, yksityisselaamisen ja jopa sijaintiasetusten rajoitukset. Valvonta jatkuu, vaikka käyttäjät eivät olisi kirjautuneina Facebookiin tai Instagramiin selaimessaan.

Voiko tämä avata ovea hakkerille?

Kyllä, ja tässä on kaikkein huolestuttavin osa: Tutkimusryhmä rakensi todisteen käsittelevän sovelluksen, joka voisi hyödyntää tätä localhost-pakotetta. Mikä tahansa haitallinen sovellus, joka käyttää Yandexin menetelmää, voisi kerätä käyttäjien koko selaushistorian reaaliajassa – käyttäjän suostumusta ei tarvita. Yandexin järjestelmän salaamattomuus tekee siitä vielä vaarallisempaa.

Informaatiota Meta tai Yandex antaneet käyttäjille tai kehittäjille?

Suurin osa verkkosivustojen omistajista vaikutti olevan tietämättömiä näistä salaisista tietojen luovutuksista. Julkiset kehittäjäfoorumit ovat pitkään dokumentoineet hämmentäviä raportteja siitä, kuinka Meta-pikselit yhdistyvät paikallisiin satamiin, eikä Meta tai Yandex ole juurikaan myöntänyt tätä asiakirjoissaan tai tukivastauksissaan.

Mitä tehdään tämän estämiseksi?

Tutkimus julkaistiin kesäkuun alussa 2025. Lähes heti Meta näytti pysäyttävän salaiset seurantakäytäntönsä – Facebookin salainen tietojen kokoaminen loppui juuri sinä päivänä, jolloin skandaali puhkesi. Vastauksena Google Chrome (versio 137, julkaistu toukokuussa 2025) estää nyt hyödynnetyt portit ja poistaa WebRTC-temptat käytöstä. Muiden selainten valmistajat seuraavat perässä.

Kuitenkin, kuten IMDEAn Narseo Vallina-Rodriguez selittää, tämä on vain väliaikainen ratkaisu – juuriongelma on Androidin kontrollin puute localhost-viestinnässä. Tulevia alustatason muutoksia ja tiukempia sovelluskauppapolitiikkoja tarvitaan kestävälle käyttäjäsuojelulle.

Kuinka Android-käyttäjät voivat suojata itseään nyt?

Kunnes alustatason suojatoimenpiteet saapuvat, tutkijat suositellaan Facebookin, Instagramin ja kaikkien ohjelmoitujen Yandex-sovellusten poistamista ja yksityisyyteen keskittyvien selainten käyttämistä. Mutta monille tämä on epäkäytännöllinen uhraus, joka korostaa, kuinka paljon käyttäjien valinta ja suostumus on ohitettu nykypäivän sovellusekosysteemissä.

Kuinka: Suojata selaustietosi Androidilla

• Poista tai deaktivoida sovelluksia, joihin et luota, erityisesti Facebook, Instagram ja Yandex-brändätyt sovellukset
• Pidä selain – ja laite – ajantasaisina uusimpaan versioon
• Käytä yksityisyyteen keskittyviä selaimia, joissa on tiukkoja anti-seurottaessa ominaisuuksia
• Seuraa kehittäjätutkimuksia, tietosuojauutisia ja arvosteluja arvostetuista paikoista, kuten Ars Technica ja Wired
• Vältä kirjautumista arkaluontoisiin sovelluksiin selaamisen aikana tai käytä erillistä laitetta

Suojaa tietosi – pysy ajan tasalla, toimi nyt!

• ✔ Päivitä Android-selaimesi (etsitään Chrome 137 tai uudempi)
• ✔ Poista epäilyttävät tai epäluotettavat sovellukset
• ✔ Siirry yksityisyyskeskeisiin työkaluihin, jos mahdollista
• ✔ Tue itsenäistä tiedonvälitystä, jotta tutkimuksia kuten tämä jatkuu