Milijoni uporabnikov Androida skrivaj sledeni: Šokantno novo poročilo razkriva skrite vohunske taktike Facebooka, Instagrama in Yandexa.

Androidova zasebnost pod napadom: Facebook, Instagram in Yandex odkrite pri skrivnem zbiranju podatkov o brskanju uporabnikov preko skritih zadnjih vrat

Nova raziskava razkriva, da Facebook, Instagram in Yandex skrivoma spremljajo spletne navade uporabnikov Android, obhajajoč nadzorne mehanizme za zasebnost in način brez sledi.

Eksplozivno poročilo IMDEA Networks Institute je razkrilo sofisticirano mrežo nadzora Android, ki jo vzpostavljajo največje tehnološke platforme na svetu. Facebook in Instagram, ki ju ima Meta, skupaj z ruskem gigantom Yandex, so ujeti pri skrivnem sledenju milijardam uporabnikov Android – celo tistim, ki delujejo v načinu brez sledi ali z vključenimi nastavitvami zasebnosti.

Pod površjem so te priljubljene aplikacije izkoristile skrite omrežne vrata za zbiranje podatkov o brskanju po spletu, jih povezale z uporabniškimi profili, v katerih so prijavljeni, brez njihovega vedenja ali soglasja.

P&A: Kaj so raziskovalci odkrili o sledenju aplikacijam Android?

Namesto da bi se zanašali na enostavno izbrisljive piškotke brskalnika, so Facebook, Instagram in Yandex izkoristili obscurne funkcije Android. Ko so bile nameščene, so njihove aplikacije tiho nastavile “poslušalce” v ozadju – podobne zasebnim radiem – na omrežnih vratih naprave. Medtem ko so nič hudega sluteči uporabniki obiskovali milijone spletnih strani, prežetih z Meta in Yandex sledilnimi pikami, je JavaScript koda tiho črpala uporabniške identifikatorje in piškotke ter preusmerjala podatke preko lokalnih povezav neposredno v aplikacije, ki so tiho delovale v ozadju.

Meta aplikacije so uporabile premočne “SDP munging” trike WebRTC, da bi skril te aktivnosti, medtem ko je bila metoda Yandexa še bolj drzna, saj je uporabljala nešifrirane HTTP zahteve, da bi delovala kot sistem za “ukazovanje in nadzor” zlonamerne programske opreme, kot navajajo raziskovalci. Aplikacije Yandex so namerno čakale dneve po namestitvi, da aktivirajo sledenje – najverjetneje, da bi se izognile odkrivanju.

Koliko uporabnikov in spletnih strani je prizadetih?

Obseg je ogromen: Več kot 5,8 milijona spletnih strani vključuje Meta sledilno piko, dodatnih 3 milijone pa prispeva Yandex Metrica. Raziskovalci so ugotovili, da je na 100.000 najboljših spletnih straneh na svetu skoraj 8 od 10 poskušalo tajno lokalno komunikacijo na napravah Android.

Zaradi tega bi lahko milijarde uporabnikov Android po svetu povezanih njihova zasebna brskanja – vključno z aktivnostmi v načinu brez sledi ali z vključenimi zaščitami zasebnosti – neposredno z njihovimi prijavljenimi identitetami aplikacij.

Kaj je drugače od običajnega sledenja po spletu?

Tradicionalni sledilci oglasov se zanašajo na piškotke brskalnika ali mehanizme za shranjevanje, ki jih uporabniki lahko izbrišejo, se jim izognejo ali jih blokirajo – še posebej z brskalniki, osredotočenimi na zasebnost, kot sta Firefox in Safari. Vendar te tehnike za Android delujejo na ravni operacijskega sistema, obhajajoč brskalniške nadzorne mehanizme, zasebno brskanje in celo omejitve nastavitve lokacije. Nadzor se nadaljuje, tudi če uporabniki niso prijavljeni v Facebook ali Instagram v svojem brskalniku.

Ali to odpre vrata za hekerje?

Da, in tukaj je najbolj zaskrbljujoč del: Raziskovalna ekipa je zgradila aplikacijo za dokaz koncepta, ki bi lahko izkoristila to luknjo v lokalnem omrežju. Vsaka zlonamerna aplikacija, ki uporablja Yandexovo metodo, bi lahko v realnem času zbirala celotno zgodovino brskanja uporabnikov – brez potrebnega soglasja uporabnika. Pomanjkanje šifriranja v Yandexovem sistemu situacijo še dodatno poslabša.

Ali je Meta ali Yandex obvestila uporabnike ali razvijalce?

Večina lastnikov spletnih strani se je zdel nezavedna teh skrivnih predaj podatkov. Javna razvijalska forum so dolgo dokumentirala zmedena poročila o povezavah Meta pik do lokalnih vrat, z malo ali brez priznanja s strani Meta ali Yandex v njihovi dokumentaciji ali odgovorih na podporo.

Kaj se dogaja za preprečevanje tega?

Raziskava je postala javna v začetku junija 2025. Skoraj takoj je Meta videti, da je ustavila svoje skrite taktike sledenja – skrivno zbiranje podatkov Facebooka se je ustavilo na dan, ko je izbruhnila škandal. V odgovor, Google Chrome (različica 137, izdana maja 2025) zdaj blokira izkoriščena vrata in onemogoča WebRTC trike. Drugi proizvajalci brskalnikov sledijo temu zgledu.

Vendar, kot razlaga Narseo Vallina-Rodriguez z IMDEA, je to le začasna rešitev – koreninski problem je pomanjkanje nadzora Androida nad komunikacijami lokalnega omrežja. Potrebne so prihodnje spremembe na ravni platforme in strožja pravila v trgovinah z aplikacijami za trajno zaščito uporabnikov.

Kako se lahko uporabniki Androida zaščitijo zdaj?

Dokler ne pridejo zaščitni mehanizmi na ravni platforme, raziskovalci priporočajo, da odstranite Facebook, Instagram in vse prizadete Yandex aplikacije ter uporabljate brskalnike, osredotočene na zasebnost. Vendar je za mnoge to nepraktična žrtev, ki poudarja, v kolikšni meri je bila prepuščena izbira in soglasje uporabnikov v današnjem ekosistemu aplikacij.

Kako: Branite svojo zasebnost brskanja na Androidu

• Odstranite ali onemogočite aplikacije, ki jim ne zaupate, še posebej Facebook, Instagram in Yandex aplikacije
• Poskrbite, da bo vaš brskalnik – in vaša naprava – posodobljena na najnovejšo različico
• Uporabljajte brskalnike, osredotočene na zasebnost, z strogimi protisledenjskimi funkcijami
• Upoštevajte raziskave razvijalcev, novice o zasebnosti in ocene na uglednih destinacijah, kot sta Ars Technica in Wired
• Izogibajte se prijavi v občutljive aplikacije med brskanjem ali uporabite namensko napravo

Ščitite svoje podatke – bodite obveščeni, ukrepajte zdaj!

• ✔ Posodobite svoj Android brskalnik (poiščite Chrome 137 ali novejšo različico)
• ✔ Odstranite sumljive ali nezaupanja vredne aplikacije
• ✔ Preklopite na orodja, osredotočena na zasebnost, kjer je to mogoče
• ✔ Podprite neodvisno znanstveno poročanje, da se raziskave, kot je ta, nadaljujejo