作者qwe711334 (qwe)
看板MobileComm
标题[新闻] Meta、Yandex被揭露监听Android本机通讯
时间Tue Jun 10 09:14:45 2025
https://www.ithome.com.tw/news/169394
Meta、Yandex被揭露监听Android本机通讯埠,桥接浏览器与App身分进行追踪
ithome 文/李建兴 | 2025-06-06发表
Meta与Yandex遭揭露在Android平台监听本机通讯埠,绕过隐私防护,串接Web与App身分
,提升追踪精确度并引发资安疑虑,主流浏览器已紧急修补,两家公司现已停止相关追踪
功能
西班牙IMDEA Networks Institute、荷兰Radboud University及比利时KU Leuven等学术
机构研究人员共同发表研究,发现知名科技公司Meta与Yandex在Android平台上,透过监
听本机通讯埠的方式,建立浏览器与原生App之间的身分桥接,实现用户行为的去匿名化
追踪。此技术手法绕过了传统的隐私保护机制,侵害行动装置用户的个人资料保护与隐私
安全。
根据该项研究结果,Meta的Facebook与Instagram应用程式,以及Yandex旗下多款应用程
式,会在Android装置中於背景持续监听特定本地端通讯埠。当用户开启安装有Meta
Pixel或Yandex Metrica追踪码的网站时,浏览器中的JavaScript脚本会将浏览行为与身
分资讯经由本地端Socket传递至这些原生App,进而实现Web与App间的身分串接。此举突
破现行如清除Cookie、无痕浏览以及Android权限控管等防护,可连结原本分散、短暂的
浏览识别与长期、个人化的App帐号或装置识别码,提升追踪的精确度与持续性。
以Meta为例,研究指出其Facebook与Instagram应用程式会在背景启动服务,监听一组UDP
与TCP本地埠口。当用户浏览嵌有Meta Pixel的网站时,脚本会将_fbp Cookie透过WebRTC
协定,以名为SDP Munging或TURN的方法传递至本机通讯埠,然後由原生App接收後,与用
户帐号一同传送至Meta伺服器。这让Meta能够跨网页与App层串接同一用户,打破现有第
一方Cookie仅限单一网站范畴的隐私保护。
Yandex则采用HTTP与HTTPS请求发送至指定本地端埠口,由旗下如Yandex Maps、Yandex
Browser等App监听。这些App会回应包含Android Advertising ID等身分资讯,由浏览器
脚本收集後一并上传,这种设计还透过DNS解析将追踪网域指向127.0.0.1,进一步隐匿流
量与资料流向,使一般检测机制更难发现。
此种利用Android开放本机Socket设计的追踪方式,受影响范围极广,据统计,Meta
Pixel与Yandex Metrica分别被嵌入全球数百万个网站。研究实测也显示,即便用户未明
确同意Cookie政策,这些身分串接仍有机会被触发,且由於本机通讯埠监听并无特别权限
限制,其他恶意App也可能侦听相关埠口,衍生更多资安与个资外泄风险。
为了评估此追踪手法对不同浏览器的影响,研究团队针对多款主流浏览器,包括Chrome、
Microsoft Edge、Firefox、DuckDuckGo及Brave进行测试。测试结果显示,当网站脚本尝
试与本机通讯埠连线时,Chrome及Edge均受到Meta与Yandex这类追踪行为的影响,能够被
追踪脚本连接并传递身分资料。Brave则因为自2022年起针对本地主机连线实施严格封锁
策略,能有效防止这类攻击,DuckDuckGo则透过增加阻挡清单减少部分风险。Firefox虽
对Meta的技术较具防御力,但对Yandex的HTTP请求仍会受到影响。
目前主流浏览器已针对此类本地端Socket沟通提出初步防御措施,例如封锁特定埠口、限
制SDP栏位操作等。不过,研究人员强调,Android平台本身的设计限制若未根本改善,相
关风险仍然存在。Meta与Yandex皆未在官方文件公开说明此类技术细节,也未针对外界或
开发者社群的相关讨论给出明确回应,但是皆已停止相关追踪功能运作。
心得/评论:
其实Meta的Facebook与Instagram会侵害隐私早已经不是新鲜事了,这次说来其实也不意
外
(2019新闻)Facebook使用者密码以未经加密明文储存
https://www.ithome.com.tw/news/129511
收购Onavo VPN,以保护隐私为名,实际蒐集用户各种资料、
Facebook与中国政府合作审查内容
Facebook APP蒐集用户位置
Cambridge Analytica(剑桥分析)事件
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 49.217.196.108 (台湾)
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/MobileComm/M.1749518088.A.4EB.html
1F:→ s78513221 : 这就是Yandex搜图超准的原因吗XD 06/10 09:21
2F:推 FXW11314 : 阿祖又要去罚站了吗 06/10 09:26
3F:嘘 astrofluket6: 乡民:没42让我们继续检讨SIRI窃听 06/10 09:30
4F:→ realbout : 只剩欧盟能制裁了 06/10 09:35
5F:推 mnxzq : 美国爸爸监听又没差 不是阿共就好 06/10 10:31
6F:推 marx0126 : 完全不意外 06/10 10:43
7F:→ manbow77 : 其他网站看了一下 主要还是靠APP触发的样子 06/10 11:04
8F:推 WLR : 把连网全禁止了 06/10 11:27
9F:→ Articunon : 祖克柏早就是中共的走狗了,meta监听实质是中共在 06/10 11:31
10F:→ Articunon : 监听 06/10 11:31
11F:推 ziggs8308 : meta根本不意外 祖刻薄超ㄏ 06/10 12:07
12F:→ GXIII : 是为了搭配脸书诵经团才窃听的啦 没事儿 06/10 12:10
13F:推 KITAN : 死诈骗软体,还在用的等着被骗 06/10 12:47
14F:→ yunf : 他们原本就是偷东西起家的 06/10 12:52
15F:→ rz759 : Meta的诈骗帐号比其他社群还海量,呕呕呕 06/10 12:53
17F:→ nano0729 : 莫非这就是我刚搜寻完某样物品,FB和IG就能马上出 06/10 12:53
18F:→ nano0729 : 广告的暖心技巧? 06/10 12:53
20F:→ yunf : 你以为只有这样吗? 06/10 12:55
22F:→ yunf : 利用价值再把他拔掉 06/10 12:58
23F:→ yunf : 你们都一直以爲是你们在用他只有华爲醒了 不再依赖 06/10 13:00
24F:→ yunf : 日本很早系统就是独立的所以他们现在那麽惨 06/10 13:02
25F:→ yunf : 独立系统要维护的成本很高 06/10 13:03
27F:推 shokotan : Brave最安全最优质 06/10 14:00
28F:→ haveastar : ig跟fb都用去广告版,眼不见为净 06/10 14:14
29F:→ manbow77 : 台湾不少手机有预载FB和IG 真的没在用也可移除省事 06/10 22:09
30F:推 goran5899 : 技术太差被查出来而已 我大华为 抖音还是技高一筹 06/11 11:43
31F:推 MengXian : 最近facebook revanced 广告开始变多了 06/11 13:22