Androidのプライバシーが侵害される:Facebook、Instagram、Yandexが隠されたバックドアを介してユーザーブラウジングデータを秘密裏に収集
新しい研究によると、Facebook、Instagram、YandexはAndroidユーザーのウェブ習慣を密かに追跡し、プライバシーコントロールやシークレットモードを回避していたことが明らかになりました。
- 78%のトップサイトがAndroid上でMeta Pixelの隠れたデータハンドオフを試みる
- 84%のYandex追跡サイトがさらに攻撃的なローカル通信を使用
- 880万以上のウェブサイトが世界的にMetaまたはYandexの追跡コードを埋め込んでいる
- 数十億のAndroidデバイスがクロスプラットフォーム監視のリスクにさらされている
IMDEA Networks Instituteによる衝撃的な報告が、世界最大のテクノロジープラットフォームによって組織された高度なAndroid監視のネットワークを暴露しました。Metaが所有するFacebookとInstagram、ロシアの巨人Yandexは、シークレットモードやプライバシー設定が有効なユーザーさえも含む、数十億のAndroidユーザーを秘密裏に追跡する関与があるとされています。
これらの人気アプリは、裏で隠れたネットワークポートを利用してウェブブラウジングデータを収集し、それをユーザーのログインプロフィールに知られずに紐付けています。
Q&A: 研究者はAndroidアプリの追跡について何を発見しましたか?
Facebook、Instagram、Yandexは、簡単に削除できるブラウザクッキーに頼るのではなく、Androidの隠れた機能を利用しました。アプリがインストールされると、デバイスのネットワークポートに背景で「リスナー」を静かに設定しました。何も知らないユーザーがMetaやYandexの追跡ピクセルが埋め込まれた数百万のウェブサイトを訪れている間、JavaScriptコードがユーザー識別子やクッキーを静かに抽出し、そのデータをローカルホスト接続を介して静かにバックグラウンドで実行されているアプリに送信しました。
研究者によると、Metaのアプリはこの活動を隠すために巧妙なWebRTC「SDPマウンジング」トリックを使用し、Yandexの方法はさらに大胆で、暗号化されていないHTTPリクエストを使用してマルウェアの「コマンド&コントロール」システムのように機能していました。Yandexのアプリは、検出を回避するために追跡を有効にするまで数日待つように設計されていました。
影響を受けているユーザーとサイトはどのくらいですか?
規模は広大です:580万以上のウェブサイトにMetaの追跡ピクセルが含まれ、Yandex Metricaはさらに300万のウェブサイトに存在します。研究者は、世界のトップ100,000のウェブサイトのほぼ8割がAndroidデバイス上で密かにローカルホストとの通信を試みていることを発見しました。
その結果、世界中の数十億のAndroidユーザーが、プライベートブラウジングセッション(シークレットモードやプライバシー保護が有効な状態を含む)が、直接ログインしているアプリのアイデンティティに紐付けられる可能性があります。
これは通常のウェブ追跡とどう違いますか?
従来の広告トラッカーは、ユーザーがクリア、回避、またはブロックできるブラウザクッキーやストレージメカニズムに依存しています。特に、FirefoxやSafariのようなプライバシー重視のブラウザで。ですが、これらのAndroid技術はオペレーティングシステムレベルで動作し、ブラウザコントロール、プライベートブラウジング、さらには位置情報設定の制限を回避します。ユーザーがブラウザでFacebookやInstagramにログインしていない場合でも、監視は続きます。
これによりハッカーが侵入する可能性はありますか?
はい、そして最も不安な点は次のとおりです:研究チームは、このローカルホストの抜け穴を利用できるプルーフ・オブ・コンセプトアプリを作成しました。Yandexの方法を使用する悪意のあるアプリは、ユーザーの完全なブラウジング履歴をリアルタイムで収集でき、ユーザーの同意は不要です。Yandexのシステムに暗号化がないため、さらに危険です。
MetaやYandexはユーザーや開発者に通知しましたか?
ほとんどのウェブサイトの所有者は、これらの秘密のデータハンドオフについて無知のようでした。公の開発者フォーラムでは、Metaのピクセルがローカルポートに接続しているという混乱した報告が長い間記録されていますが、MetaやYandexのドキュメントやサポートの応答ではほとんど認識されていません。
これを止めるために何が行われていますか?
この研究は2025年6月上旬に公開されました。ほぼ瞬時に、Metaは隠れた追跡戦術を停止したようです—Facebookの秘密のデータ収集はスキャンダルが発覚したその日から停止しました。それに対する応答として、Google Chrome(2025年5月にリリースされたバージョン137)は、悪用されたポートをブロックし、WebRTCのトリックを無効にします。他のブラウザメーカーも追随しています。
しかし、IMDEAのNarseo Vallina-Rodriguezが説明するように、これは一時的な修正に過ぎません—根本的な問題はAndroidのローカルホスト通信に対する制御の欠如です。持続的なユーザー保護のためには、プラットフォームレベルの変更と厳格なアプリストアポリシーが必要です。
Androidユーザーは今どうやって自分を守ることができますか?
プラットフォームレベルでの安全装置が導入されるまで、研究者はFacebook、Instagram、そして影響を受けたYandexアプリをアンインストールし、プライバシー重視のブラウザを使用することを推奨しています。しかし、多くの人にとって、これは現在のアプリエコシステムにおいてユーザーの選択肢と同意がどれほどバイパスされているかを強調する実用的ではない犠牲です。
方法:Androidでのブラウジングプライバシーを守る
- 信頼できないアプリ、特にFacebook、Instagram、Yandexブランドのアプリを削除または無効にしてください
- ブラウザとデバイスを最新バージョンに更新してください
- 厳格なトラッキング防止機能を持つプライバシー重視のブラウザを使用してください
- Ars TechnicaやWiredなどの信頼できる情報源で開発者研究、プライバシーニュース、レビューを監視してください
- ブラウジング中に敏感なアプリにログインするのを避けるか、専用デバイスを使用してください
データを保護してください—情報を得て、今行動しましょう!
- ✔ Androidブラウザを更新してください(Chrome 137以降を探してください)
- ✔ 疑わしいまたは信頼できないアプリをアンインストールしてください
- ✔ 可能な限りプライバシー重視のツールに切り替えてください
- ✔ このような調査が続けられるように独立した科学報道を支持してください
