Meta и «Яндекс» трекают и идентифицируют пользователей Android. Даже тех, кто инкогнито и с VPN

Исследователи выяснили, что трекеры Meta Pixel и «Яндекс Метрики», которые установлены на 5,8 млн и 3 млн сайтов соответственно, злоупотребляли протоколами идентификации пользователей в Android. В частности, они отправляли уникальные идентификаторы из Chrome и других браузеров в установленные на смартфонах приложения Facebook, Instagram и сервисы «Яндекса» через локальные порты.

Это позволяло связывать анонимные веб-идентификаторы с постоянными ID в приложениях компаний и деанонимизировать пользователей. В том числе тех, кто удалял файлы cookie, использовал режим инкогнито или VPN.

По словам авторов, две компании обошли механизмы безопасности Google, которые предполагают изоляцию процессов и разделение данных между приложениями. «Яндекс» начал делать это в 2017 году, Meta — осенью 2024 года. В Google заявили, что уже начали блокировать подобные практики в Chrome, поскольку они нарушают политику конфиденциальности Google Play.

Авторы исследования не знают, нарушают ли действия компаний законы о персональных данных разных стран. Чтобы наверняка защититься от слежки, они советуют пользователям полностью удалить сервисы Meta и «Яндекса» с устройств.

В «Яндексе» журналистам сообщили, что перестали использовать технологию. В компании подчеркнули, что «функция не собирала никакой конфиденциальной информации и предназначалась исключительно для улучшения персонализации». В Meta заявили, что «приостановили работу функции» и ведут переговоры с Google для «устранения потенциального недопонимания относительно соблюдения политик конфиденциальности».