Meta (Facebook) ve Yandex tarafından kullanılan sofistike bir izleme yöntemi, milyarlarca Android kullanıcıyı yerel Host soketleri aracılığıyla gizli web-uygulama iletişimi yoluyla etkiledi.
Teknik, Facebook ve Instagram da dahil olmak üzere yerel Android uygulamalarının, binlerce web sitesine gömülü meta piksel komut dosyalarından tarayıcı meta verilerini, çerezleri ve komutları sessizce almasına izin verdi, mobil tarama oturumlarını etkili bir şekilde kullanıcı kimliklerine bağladı ve standart gizlilik korumalarını atladı.
WebRTC ve Port Manipülasyonu aracılığıyla uygulama
Github, izleme mekanizmasının Android’in Localhost soketlerine sınırsız erişimini kullandığını ve Meta’nın yaklaşımının çeşitli teknik iterasyonlarla geliştiğini bildirdi.
.png
)
Başlangıçta Eylül 2024’te HTTP isteklerini kullanan Meta’nın sistemi, Kasım 2024’e kadar SDP Munging ile WebRTC stun’a yerleşmeden önce WebSocket Communications’a ilerledi.
Meta Pixel JavaScript, Facebook ve Instagram uygulamalarının kalıcı dinleyicileri koruduğu WebRTC kullanarak birinci taraf _FBP çerezini UDP bağlantı noktalarına iletti.
Teknik uygulama, Meta’nın _FBP çerez içeriğini SDP “ICE-UFrag” alanına eklediği SDP Munging’i içeriyordu ve Loopback adresine 127.0.0.1’e gönderilen bağlama isteği sersemletme mesajları üretti.
Bu veri akışı, Chrome’s Devtools gibi standart tarayıcı hata ayıklama araçlarına görünmez kaldı ve algılamayı kullanıcılar ve güvenlik araştırmacıları için zorlaştırdı.
Mayıs 2025’e kadar Meta, Chrome geliştiricileri tekniği devre dışı bırakma planlarını açıkladıktan sonra WebRTC Turn iletişimlerini 12586-12591 bağlantı noktalarına tanıttı.
İzleme yöntemi, Meta Pixel’in 5.8 milyondan fazla web sitesine gömülü olan benzeri görülmemiş bir kapsam gösterdi ve _FBP çerezini Web genelinde üçüncü en yaygın birinci taraf çerez haline getirdi.
En iyi 100.000 web sitesinin araştırma taramaları, ABD’deki 17.223 sitede Localhost iletişimini ve AB’de 15.677 sitede, bu sitelerin yaklaşık% 75-78’i açık kullanıcı rızası olmadan davranışı tetikleyen meta piksel olduğunu ortaya koydu.
Sistem, çerez temizleme, gizli mod ve Android’in izin kontrolleri dahil olmak üzere yerleşik gizlilik korumalarını etkili bir şekilde atlattı.
Mobil tarayıcılarında Facebook veya Instagram’a giriş yapmayan kullanıcılar bile Android Reklam Kimliği (AAID) köprüleme mekanizması aracılığıyla izlemeye karşı savunmasız kaldı.
Geçici web tanımlayıcıları kalıcı mobil uygulama kimliklerine bağlayarak Meta’nın farklı _FBP çerezlerini web siteleri arasında aynı kullanıcı hesabı ile ilişkilendirmesine izin vererek çalıştı.
Azaltma çabaları
Büyük tarayıcı satıcılarına sorumlu açıklamanın ardından, birkaç karşı önlem geliştirme ve dağıtıma girdi.
26 Mayıs 2025’te piyasaya sürülen Chrome sürüm 137, kötüye kullanılmış limanları engelleyen ve meta piksel tarafından kullanılan belirli SDP munging tekniklerini devre dışı bırakan korumalar uyguladı.
Firefox sürüm 139 benzer port engelleme karşı önlemleri birleştirirken, DuckDuckgo ve cesur tarayıcılar zaten Localhost iletişimine karşı blok listesi tabanlı korumaları korudu.
Meta, uygulamayı 3 Haziran 2025 civarında durdurdu, Facebook Pixel betiği artık Localhost’a paket göndermiyor ve sorumlu kod neredeyse tamamen kaldırıldı. Yandex, açıklamanın ardından localhost tabanlı izleme işlemlerini de durdurdu.
Vahiy, platform kum havuzu sınırlamaları ve özellikle kullanıcı farkındalığı veya rızası olmadan çapraz uygulama veri paylaşımını sağlayan localhost bağlantıları ile ilgili olarak artan Android intercocess iletişim güvenliği konusunda daha geniş tartışmalar başlattı.
Yapay zeka ile çalışan nex-nesil kötü amaçlı yazılım koruması mı arıyorsunuz? – Kötü amaçlı yazılım koruması artı ücretsiz indirin