Post #4459

Домашняя слежка Запрещённая в РФ Meta и родной Yandex годами использовали localhost-соединения для тайного отслеживания миллиардов пользователей Android, обходя все защиты приватности. Схема работала гениально просто. Запрещённые приложения Facebook, Instagram и Yandex молча слушали определённые порты на localhost. Когда пользователь заходил на сайт с Meta Pixel или Yandex Metrica, JavaScript отправлял cookies прямо в приложения через WebRTC и HTTP-запросы. Так эфемерные веб-идентификаторы связывались с реальными аккаунтами. Meta использовала SDP Munging через WebRTC, пряча данные в технических сообщениях. Yandex работал проще, через HTTP. Метод обходил режим инкогнито, очистку cookies и песочницы Android. Meta Pixel засветился на 5,8 млн сайтов, Yandex Metrica на 3 млн. В 78% случаев отслеживание начиналось без согласия пользователей. Meta прекратила практику 3 июня, а про Yandex мы такой информации не нашли. Chrome уже блокирует злоупотребления портами, а Firefox готовит патчи. НеКасперский