Миллионы пользователей Android тайно отслеживаются: шокирующий новый отчет раскрывает скрытые шпионские тактики Facebook, Instagram и Яндекса

Конфиденциальность Android под угрозой: Facebook, Instagram и Яндекс уличены в тайном сборе данных о пользователях через скрытые «двери»

Новые исследования показали, что Facebook, Instagram и Яндекс тайно отслеживали интернет-привычки пользователей Android, обходя контролли конфиденциальности и режим инкогнито.

Шокирующий отчет Института сетевых технологий IMDEA раскрыл сложную сеть наблюдения за Android, организованную крупнейшими технологическими платформами мира. Facebook и Instagram, принадлежащие Meta, а также российский гигант Яндекс, вовлечены в тайное отслеживание миллиардов пользователей Android, даже тех, кто работает в режиме инкогнито или с активными настройками конфиденциальности.

Скрыто от глаз, эти популярные приложения использовали скрытые сетевые порты для сбора данных о веб-серфинге, связывая их с профилями пользователей, вошедшими в систему, без их ведома или согласия.

Вопросы и ответы: Что обнаружили исследователи о отслеживании приложений Android?

Вместо того чтобы полагаться на легко удаляемые браузерные куки, Facebook, Instagram и Яндекс воспользовались неясными функциями Android. Когда их приложения устанавливались, они незаметно настраивали фоновый «слушатель» — аналог частного радио — на сетевых портах устройства. Когда ничего не подозревающие пользователи посещали миллионы сайтов, пропитанных трекерами Meta и Яндекса, код JavaScript молча собирал идентификаторы пользователей и куки, перенаправляя данные через локальные подключения прямо в работающие в фоновом режиме приложения.

Приложения Meta использовали хитрые «SDP munging» трюки WebRTC, чтобы скрыть эту активность, в то время как метод Яндекса был еще более наглым, используя нешифрованные HTTP-запросы для работы как «командный и контрольный» центр вредоносного ПО, согласно исследователям. Приложения Яндекса намеренно ждали дни после установки, чтобы активировать отслеживание — вероятно, чтобы избежать обнаружения.

Сколько пользователей и сайтов затронуто?

Масштабы огромны: Более 5.8 миллионов веб-сайтов включают трекеры Meta, а Яндекс.Метрика присутствует еще на 3 миллионах. Исследователи обнаружили, что на 100,000 топовых веб-сайтах мира почти 8 из 10 пытались осуществить скрытое взаимодействие через localhost на устройствах Android.

В результате миллиарды пользователей Android по всему миру могут иметь свои приватные сеансы серфинга — включая активность в инкогнито или с активированными настройками конфиденциальности — связаны напрямую с их идентичностями в приложениях.

Как это отличается от обычного веб-отслеживания?

Традиционные рекламные трекеры полагаются на браузерные куки или механизмы хранения, которые пользователи могут очищать, избегать или блокировать — особенно с браузерами, ориентированными на конфиденциальность, такими как Firefox и Safari. Но эти техники Android работают на уровне операционной системы, обходя контролы браузера, режим private browsing и даже ограничения по геолокации. Наблюдение продолжается даже если пользователи не вошли в Facebook или Instagram в своем браузере.

Может ли это открыть двери для хакеров?

Да, и вот самая тревожная часть: исследовательская группа создала демонстрационное приложение, которое могло использовать эту лазейку localhost. Любое вредоносное приложение, использующее метод Яндекса, могло бы собирать полную историю серфинга пользователей в реальном времени — без необходимости в согласии пользователя. Отсутствие шифрования в системе Яндекса делает это еще более опасным.

Сообщали ли Meta или Яндекс пользователям или разработчикам?

Большинство владельцев сайтов, похоже, не знали о этих тайных передаче данных. Публичные форумы разработчиков давно документировали запутанные сообщения о подключениях пикселей Meta к локальным портам, и Meta или Яндекс почти не признавали это в своей документации или ответах на поддержку.

Что предпринимается для остановки этого?

Исследование стало общеизвестным в начале июня 2025 года. Почти мгновенно Meta, похоже, приостановила свои скрытые методы отслеживания — сбор данных Facebook прекратился в тот же день, когда разразился скандал. В ответ Google Chrome (версия 137, выпущенная в мае 2025 года) теперь блокирует эксплуатируемые порты и отключает трюки WebRTC. Другие производители браузеров идут по такому же пути.

Тем не менее, как объясняет Нарсео Валлина-Родригес из IMDEA, это всего лишь временное решение — корень проблемы заключается в отсутствии контроля Android над локальными взаимодействиями. Необходимы изменения на уровне платформы и более строгие политики магазинов приложений для долговременной защиты пользователей.

Как пользователи Android могут защитить себя сейчас?

Пока не появятся защитные меры на уровне платформы, исследователи рекомендуют удалить Facebook, Instagram и все затронутые приложения Яндекса и использовать браузеры, ориентированные на конфиденциальность. Но для многих это непрактичная жертва, подчеркивающая степень, до которой выбор и согласие пользователей были обойдены в сегодняшней экосистеме приложений.

Как защитить свою конфиденциальность при серфинге в Android

• Удалите или отключите приложения, которым вы не доверяете, особенно приложения Facebook, Instagram и Яндекс
• Держите ваш браузер и устройство обновленными до последней версии
• Используйте браузеры, ориентированные на конфиденциальность, с жесткими анти-трекерскими функциями
• Следите за исследованиями разработчиков, новостями о конфиденциальности и отзывами на авторитетных ресурсах, таких как Ars Technica и Wired
• Избегайте входа в чувствительные приложения во время серфинга или используйте специальное устройство

Защитите свои данные — оставайтесь в курсе, действуйте сейчас!

• ✔ Обновите ваш Android-браузер (ищите Chrome 137 или позже)
• ✔ Удалите подозрительные или ненадежные приложения
• ✔ Переходите на инструменты, ориентированные на конфиденциальность, где это возможно
• ✔ Поддерживайте независимую научную отчетность, чтобы такие расследования продолжались