Facebook a Yandex využívali chybu v Androide, aby sledovali používateľov bez ich vedomia
Facebook a Yandex využívali skrytú bezpečnostnú chybu v Androide na sledovanie tvojej aktivity bez tvojho vedomia.
V posledných dňoch sa na svetlo dostala mimoriadne znepokojujúca správa o tom, ako technologickí giganti ako Meta a Yandex využívali menej známu bezpečnostnú medzeru v Android systéme na sledovanie používateľov a to bez ich vedomia a častokrát aj bez súhlasu. Ak používaš Android, mal by si spozornieť. Upozornil na to portál arstechnica.com.
Ako to celé fungovalo?
Android umožňuje aplikáciám komunikovať cez takzvaný „localhost“, čo je špeciálne interné spojenie v telefóne, ktoré sa zvyčajne využíva pri vývoji aplikácií. To však Meta aj Yandex využili na niečo celkom iné.
Ich mobilné aplikácie (napríklad Facebook, Instagram či Yandex Maps) si potichu spustili takzvaných „poslucháčov“, teda čakali na špecifické údaje, ktoré im prišli z webového prehliadača. Keď si napríklad navštívil webovú stránku s integrovaným Meta Pixel alebo Yandex Metrica skriptom, tvoj prehliadač automaticky poslal dáta týmto aplikáciám na pozadí. Cez toto spojenie si aplikácie dokázali priradiť tvoju identitu k webovej aktivite.
Prečo je to problém?
Táto technika obišla všetky bežné ochrany súkromia, od inkognito režimu, cez vymazanie cookies, až po nastavenia súhlasov so sledovaním. Navyše, ak mal telefón nainštalovanú škodlivú aplikáciu, ktorá tiež „počúvala“ na týchto portoch, mohla získať prehľad o tvojej webovej aktivite. Inými slovam, aj keď si sa snažil chrániť svoje súkromie, táto technika to všetko úplne obišla. A čo je najhoršie, bez toho, aby si o tom vedel.
Podľa dostupných údajov je Meta Pixel prítomný na vyše 5 miliónoch webstránok. Yandex Metrica beží na ďalších približne 3 miliónoch. Výskum ukázal, že v Európe aj USA sa sledovanie cez localhost dialo na desiatkach tisíc webov, a to často ešte predtým, než si návštevník vôbec mal šancu súhlasiť s cookies.
Neprehliadni
Ako zareagoval Facebook a Yandex?
Meta údajne pozastavila problémovú funkcionalitu k 3. júnu 2025, aspoň dočasne. Meta Pixel už neodosiela cookie _fbp na lokálne porty. Yandex podobný mechanizmus využíva minimálne od roku 2017, no podľa ich vyjadrenia túto prax ukončujú a sú v kontakte s Google
Ak používaš Android, je situácia trochu komplikovaná. Lokálne spojenia sú systémová vlastnosť, ktorú zatiaľ žiadna ochrana v Android prehliadačoch úplne nezakazuje. Prehliadače ako Brave či DuckDuckGo majú niektoré ochrany, ale ani tie nie sú dokonalé.
Dobrou správou je, že Chrome od verzie 137 (z konca mája 2025) začal blokovať zneužívané porty a techniky. Aktualizuj si teda svoj prehliadač čo najskôr a zvažuj, ktorým aplikáciám na pozadí dôveruješ.
Dôležitosť problému
Tento prípad nie je len o tom, že „zase niekto sledoval používateľov“. Je to dôkaz, že ani zdokonalené techniky ochrany súkromia nemusia stačiť, ak veľké firmy aktívne hľadajú spôsoby, ako ich obísť. A ak ich na to nikto neupozorní, budú v tom pokojne pokračovať. Tvoj telefón ti má slúžiť, nie ťa sledovať. Táto kauza je silnou pripomienkou, že aj v digitálnom svete platí, že ak niečo vyzerá ako súkromné, ešte to neznamená, že to súkromné naozaj je.
Komentáre