Meta i Yandex śledziły użytkowników Androida za pomocą przeglądarek internetowych i lokalnych hostów

Wbrew pozorom firma Meta i jej CEO Mark Zuckerberg od lat budzą kontrowersje, które w ostatnim czasie przybierają na sile. Na światło dzienne wychodzą kolejne niepokojące informacje, m.in. o manipulacjach reklamowych, współpracy z władzami Chin, a teraz także o śledzeniu użytkowników systemu Android za pomocą przeglądarek internetowych oraz lokalnych plików hostów. Podobnych praktyk dopuszczał się również rosyjski Yandex, wykorzystując te mechanizmy.

Meta i Yandex wykorzystywały lokalne połączenia na urządzeniach z Androidem do śledzenia aktywności użytkowników w przeglądarce. Informacje zbierane przez skrypty osadzone na stronach internetowych były przesyłane do aplikacji takich jak Facebook i Instagram, a następnie trafiały na serwery firm, umożliwiając powiązanie danych z konkretnym użytkownikiem.

Była dyrektor Facebooka oskarża firmę Meta o manipulowanie reklamami wobec nastolatków i współpracę z Chinami

W sieci pojawiły się obszerne informacje oraz techniczne wyjaśnienia dotyczące ukrytej mechaniki śledzenia użytkowników przez firmy Meta i Yandex. Mechanizm ten zagraża prywatności użytkowników i omija zabezpieczenia systemu Android. Choć zagadnienie jest dość złożone, postaram się je opisać w możliwie prosty sposób. Android umożliwia aplikacjom nasłuchiwanie połączeń przychodzących z lokalnego adresu 127.0.0.1 (tzw. localhost). Ten sam adres może być wykorzystywany przez przeglądarkę zainstalowaną na tym samym urządzeniu. Problem zaczyna się w momencie, gdy na odwiedzanej stronie osadzony jest skrypt śledzący Meta Pixel, który zapisuje identyfikator śledzenia w ciasteczku z końcówką _fbp. Następnie aplikacje takie jak Facebook czy Instagram, działające na tym samym telefonie, mogą odczytać te dane z przeglądarki przy użyciu mechanizmów takich jak WebRTC i lokalne połączenia. Zebrane informacje trafiają później na serwery Meta, gdzie mogą zostać powiązane z konkretnym kontem użytkownika, nawet jeśli nie był on zalogowany w samej przeglądarce.

Meta kontra FTC. Kevin Systrom ujawnia, że Mark Zuckerberg postrzegał Instagram jako zagrożenie dla Facebooka

Jak się okazuje, z podobnego mechanizmu korzysta również rosyjski Yandex w swoich aplikacjach mobilnych. Jeśli użytkownik ma zainstalowaną jedną z nich, tworzy ona niewidoczną usługę działającą w tle, która nasłuchuje lokalnych portów HTTP i HTTPS: 29009, 29010, 30102 oraz 30103. Gdy użytkownik odwiedzi stronę internetową zawierającą skrypt Yandex Metrica, ten nawiązuje połączenie z lokalnym adresem 127.0.0.1, przesyłając dane do nasłuchującej aplikacji. Zebrane informacje są następnie zwracane do przeglądarki, a ta przekazuje je dalej na serwery Yandexa. Te techniki skutecznie omijają ograniczenia systemowe Androida oraz prywatności przeglądarek, a dodatkowo mogą zostać wykorzystana przez inne złośliwe aplikacje, jeśli te również będą nasłuchiwać tych portów.

Hasła użytkowników Facebooka były podane na tacy. Meta otrzymała z tego powodu dość dotkliwą karę

Według informacji z sieci, od 3 czerwca 2025 roku, skrypt Meta Pixel przestał wysyłać jakiekolwiek pakiety lub żądania do hosta lokalnego. Fragment kodu odpowiedzialny za tworzenie ciasteczka _fbp został niemal całkowicie usunięty. Również Yandex zaprzestał opisywanych powyżej praktyk. Mimo to mamy do czynienia z precedensem na ogromną skalę, który potwierdza wieloletnie podejrzenia, że reklamy wyświetlane w internecie nie są przypadkowe. Teraz wiemy już dokładnie, jak działał mechanizm, dzięki któremu po intensywnym czytaniu o rowerach w sieci zaczynały nas śledzić reklamy właśnie z nimi związane. Pokazano również techniki, które w podobny sposób mogą zostać wykorzystane przez złośliwe oprogramowanie. Cała sprawa dobitnie pokazuje, że w informatyce niemal wszystko da się obejść - to tylko kwestia czasu, zasobów i odpowiednich umiejętności. Więcej technicznych i szczegółowych informacji można odnaleźć w tym miejscu.