Meta і «Яндэкс» адсочваюць і ідэнтыфікуюць карыстальнікаў Android. Нават тых, хто інкогніта і з VPN

Даследчыкі высветлілі, што трэкеры Meta Pixel і «Яндэкс Метрыкі», устаноўленыя адпаведна на 5,8 млн і 3 млн сайтаў, злоўжывалі пратаколамі ідэнтыфікацыі карыстальнікаў у Android. У прыватнасці, яны адпраўлялі ўнікальныя ідэнтыфікатары з Chrome і іншых браўзераў ва ўсталяваныя на смартфонах праграмы Facebook, Instagram і сэрвісы «Яндэкса» праз лакальныя порты.

Гэта дазваляла звязваць ананімныя вэб-ідэнтыфікатары з пастаяннымі ID у праграмах кампаній і дэананімізаваць карыстальнікаў. У тым ліку тых, хто выдаляў файлы cookie, карыстаўся рэжымам інкогніта або VPN.

Паводле слоў аўтараў, дзве кампаніі абышлі механізмы бяспекі Google, якія прадугледжваюць ізаляцыю працэсаў і падзел дадзеных паміж аплікацыямі. «Яндэкс» пачаў рабіць гэта ў 2017 годзе, Meta — восенню 2024 года. У Google заявілі, што ўжо пачалі блакаваць падобныя практыкі ў Chrome, паколькі яны парушаюць палітыку канфідэнцыяльнасці Google Play.

Аўтары даследавання не ведаюць, ці парушаюць дзеянні кампаній законы аб персанальных даных розных краін. Каб дакладна абараніцца ад сачэння, яны раяць карыстальнікам цалкам выдаліць сэрвісы Meta і «Яндэкса» з прылад.

У «Яндэксе» журналістам паведамілі, што перасталі выкарыстоўваць тэхналогію. У кампаніі падкрэслілі, што «функцыя не збірала ніякай канфідэнцыйнай інфармацыі і прызначалася выключна для паляпшэння персаналізацыі». У Meta заявілі, што «прыпынілі працу функцыі» і вядуць перамовы з Google для «ліквідацыі патэнцыйнага непаразумення адносна выканання палітык канфідэнцыяльнасці».