Уязвимость Android: как смартфоны шпионили за пользователями
3 июня 2025 года исследователи из университетов Радбауд, IMDEA Networks и KU Leuven раскрыли тревожную практику: Meta (владелец Facebook, Instagram и WhatsApp) годами использовала уязвимость в Android для скрытого сбора данных пользователей. Технология работала даже в режиме инкогнито и при включенном VPN.
Meta внедряла рекламные скрипты (например, Meta Pixel) на миллионы сайтов. Эти скрипты взаимодействовали с приложениями Meta на Android, перенаправляя данные о посещенных страницах через локальный IP-адрес 127.0.0.1. Таким образом, каждое действие в браузере — будь то Chrome, Edge или Firefox — связывалось с аккаунтом пользователя в соцсетях.
Brave и DuckDuckGo закрыли эту лазейку ещё в 2022 году. Остальные — промолчали.
Почему iPhone безопаснее
Владельцы устройств Apple оказались защищены архитектурой iOS. Жёсткие ограничения на доступ к локальным портам и работу сторонних скриптов не позволили Meta повторить схему. Хотя исследователи допускают, что при изменении правил iOS атака может стать возможной и там.
Масштабы слежки
Сбор данных начался в сентябре 2024 года. Около 20% популярных сайтов содержали Meta Pixel. Google после разоблачения выпустил патчи для Chrome и Android, но факт остаётся фактом: система пропустила почти 9 месяцев скрытого мониторинга.
Не только Meta
Российский Яндекс использовал аналогичный метод через Yandex Metrica с 2017 года. Компания отрицает злонамеренное использование данных, но технически механизм идентичен — и так же нарушает GDPR.
Что делать пользователям Android
- Замените Chrome и Edge на Brave или DuckDuckGo
- Удалите ненужные приложения
- Отзовите разрешения на сетевой доступ у подозрительных программ
Главный урок: если услуга бесплатна, вероятно, товар — это вы. Даже когда вам кажется, что вас не слушают.
