Android Adatvédelem Veszélyben: A Facebook, Instagram és Yandex Titokban Gyűjtötte a Felhasználók Böngészési Adatát Rejtett Hátsó Ajtókon Keresztül
Új kutatás tárja fel, hogy a Facebook, Instagram és Yandex titokban követte az Android felhasználók webböngészési szokásait, megkerülve a magánélet védelmét szolgáló beállításokat és az inkognitó módot.
- 78% a legnagyobb Meta Pixel-el rendelkező webhelyek közül titkos adatátadást próbál az Androidon
- 84% a Yandex által követett webhelyek még agresszívebb helyi kommunikációt használnak
- 8.8 millió+ weboldal ágyazza be a Meta vagy Yandex nyomkövető kódot világszerte
- Milliárdok Android eszközök veszélyben vannak a platformok közötti megfigyelés miatt
A IMDEA Hálózati Intézet által készített bombasztikus jelentés felfedte a világ legnagyobb technológiai platformjainak irányítása alatt álló Android megfigyelési tevékenység bonyolult hálózatát. A Facebook és az Instagram, amelyeket a Meta birtokol, valamint az orosz óriás Yandex, titkos nyomozásban vétkesek, amely több milliárd Android felhasználót céloz meg – még azokat is, akik inkognitó módban vagy engedélyezett adatvédelmi beállításokkal működnek.
A felszín alatt ezek a népszerű alkalmazások rejtett hálózati portokat használtak fel a webböngészési adatok összegyűjtésére, és összekapcsolták azokat a felhasználók bejelentkezett profiljaival, anélkül, hogy tudomásuk lett volna róla vagy hozzájárultak volna.
Kérdések és Válaszok: Mit Tárt Föl a Kutatás az Android Alkalmazások Nyomkövetéséről?
A Facebook, Instagram és Yandex nem az egyszerűen törölhető böngésző cookie-kra támaszkodott, hanem az Android kevésbé ismert funkcióit kihasználva. Telepítéskor alkalmazásaik csendben háttér „hallgatókat” állítanak be – hasonlóan a magán rádiókhoz – az eszköz hálózati portjain. Amíg a gyanútlan felhasználók milliókat látogattak meg a Meta és Yandex nyomkövető pixeleivel ellátott weboldalakon, a JavaScript kód csendben gyűjtötte a felhasználói azonosítókat és cookie-kat, és az adatokat a localhost kapcsolatokon keresztül közvetítette az alkalmazásokba, amelyek csendben futottak a háttérben.
A Meta alkalmazásai ügyes WebRTC „SDP munging” trükköket alkalmaztak e tevékenység elrejtésére, míg a Yandex módszere még merészebb volt, mivel titkosítatlan HTTP kéréseket használt, hogy egy kártevő „parancs- és vezérlőrendszer” módjára működjön – állítják a kutatók. A Yandex alkalmazások szándékosan napokat vártak a telepítés után, mielőtt aktiválták a nyomkövetést – valószínűleg a felfedezés elkerülése érdekében.
Hány Felhasználót és Weboldalt Érintenek?
A skála hatalmas: Több mint 5.8 millió weboldalon található a Meta nyomkövető pixele, és a Yandex Metrica 3 millió ton még található. A kutatók megállapították, hogy a világ 100 000 legnépszerűbb weboldalán közel 8 a 10-ből megpróbálta titkos localhost kommunikációt folytatni Android eszközökön.
Ennek következtében milliárdnyi Android felhasználó világszerte, akik a privát böngészési munkameneteik során – beleértve az inkognitót vagy az adatvédelmi védelmeket – közvetlenül összeköthetők a bejelentkezett alkalmazásazonosítóikkal.
Miért Más Ez, Mint a Hagyományos Web Nyomkövetés?
A hagyományos reklámszolgáltatók böngésző cookie-kra vagy olyan tárolási mechanizmusokra támaszkodnak, amelyeket a felhasználók törölhetnek, elkerülhetnek vagy blokkolhatnak – különösen az olyan adatvédelmi központú böngészők esetén, mint a Firefox és Safari. De ezek az Android technikák az operációs rendszer szintjén működnek, megkerülve a böngésző vezérléseit, a privát böngészést és még a helymeghatározási korlátozásokat is. A megfigyelés folytatódik, még akkor is, ha a felhasználók nincsenek bejelentkezve a Facebookba vagy az Instagramra a böngészőjükben.
Megnyitja Ez a Kaput a Hackerek Előtt?
Igen, és itt a legaggasztóbb rész: A kutatócsapat épített egy bizonyíték alapú alkalmazást, amely kihasználhatja ezt a localhost kiskaput. Bármely kártékony alkalmazás, amely a Yandex módszerét használja, valós időben képes lenne összegyűjteni a felhasználók teljes böngészési előzményeit – felhasználói hozzájárulás szüksége nélkül. A Yandex rendszerében található titkosítás hiánya még veszélyesebbé teszi azt.
Tájékoztatta a Meta vagy a Yandex a Felhasználókat vagy Fejlesztőket?
A weboldal tulajdonosok többsége látszólag nem volt tudatában e titkos adatátadásoknak. A nyilvános fejlesztői fórumok régóta dokumentálják a Meta pixelek helyi portokhoz való csatlakozásáról szóló zavaros jelentéseket, a Meta vagy Yandex dokumentációjában vagy támogatási válaszaiban alig vagy egyáltalán nincs elismerés.
Mit Tettek a Megállításáért?
A kutatás 2025 júniusának elején nyilvánosságra került. Szinte azonnal a Meta leállította titkos nyomkövetési taktikáit – a Facebook rejtett adatgyűjtése pontosan azon a napon leállt, amikor a botrány kipattant. Ennek eredményeként a Google Chrome (137-es verzió, 2025 májusában kiadva) most blokkolja az érintette portokat, és letiltja a WebRTC trükköket. Más böngészőgyártók is követik a példájukat.
Mindazonáltal, ahogy az IMDEA Narseo Vallina-Rodriguez elmagyarázza, ez csak ideiglenes megoldás – a gyökérprobléma az Android localhost kommunikációk fölötti ellenőrzés hiánya. Jövőbeli platform szintű változtatásokra és szigorúbb alkalmazásbolt politikákra van szükség a tartós felhasználói védelem érdekében.
Hogyan Védhetik Meg Magukat Az Android Felhasználók Most?
Amíg a platformszintű védelmi intézkedések megérkeznek, a kutatók azt javasolják, hogy távolítsák el a Facebookot, az Instagramot, és minden érintett Yandex alkalmazást, és használjanak adatvédelmi fókuszú böngészőket. De sokak számára ez egy életképtelen áldozat, amely kiemeli azt a mértékű problémát, hogy a felhasználói választás és hozzájárulás milyen mértékben lett megkerülve a mai alkalmazásökoszisztémában.
Útmutató: Hogyan Védjük Meg Böngészési Adatvédelmünket Androidon
- Távolítsa el vagy tiltsa le a nem megbízható alkalmazásokat, különösen a Facebook, Instagram és Yandex alkalmazásokat
- Tartsa böngészőjét – és eszközét – a legújabb verzión
- Használjon adatvédelmi fókuszú böngészőket, szigorú anti-nyomkövetési funkciókkal
- Kövesse a fejlesztői kutatást, adatvédelmi híreket és véleményeket megbízható forrásokon, mint az Ars Technica és Wired
- Kerülje az érzékeny alkalmazásokba való bejelentkezést böngészés közben, vagy használjon egy dedikált eszközt
Védje Adatát – Maradjon Tájékozott, Cselekedjen Most!
- ✔ Frissítse Android böngészőjét (keresse a Chrome 137-es vagy későbbi verzióját)
- ✔ Távolítsa el a gyanús vagy megbízhatatlan alkalmazásokat
- ✔ Váltson adatvédelmi fókuszú eszközökre, ha lehetséges
- ✔ Támogassa a független tudományos tudósítást, hogy ezek a vizsgálatok folytatódhassanak