Meta và Yandex đang loại bỏ thông tin nhận dạng người dùng Android khi duyệt web.

Mã theo dõi mà Meta và Yandex có trụ sở tại Nga nhúng vào hàng triệu trang web đang hủy ẩn danh khách truy cập bằng cách lạm dụng các giao thức Internet hợp pháp, khiến Chrome và các trình duyệt khác lén lút gửi số nhận dạng duy nhất đến các ứng dụng gốc được cài đặt trên thiết bị, các nhà nghiên cứu đã phát hiện. Google cho biết họ đang điều tra hành vi lạm dụng, cho phép Meta và Yandex chuyển đổi số nhận dạng web phù du thành danh tính người dùng ứng dụng di động liên tục.

Việc theo dõi bí mật— được thực hiện trong Meta Pixel và Yandex Metrica trackers—cho phép Meta và Yandex bỏ qua các biện pháp bảo vệ quyền riêng tư và bảo mật cốt lõi được cung cấp bởi cả hệ điều hành Android và các trình duyệt chạy trên đó. Hộp cát Androidví dụ: cách ly các quy trình để ngăn chúng tương tác với HĐH và bất kỳ ứng dụng nào khác được cài đặt trên thiết bị, cắt quyền truy cập vào dữ liệu nhạy cảm hoặc tài nguyên hệ thống đặc quyền. Phòng thủ như vậy như bang phân vùng và phân vùng lưu tr, được tích hợp vào tất cả các trình duyệt chính, lưu trữ cookie trang web và dữ liệu khác được liên kết với một trang web trong các vùng chứa duy nhất cho mọi miền trang web cấp cao nhất để đảm bảo chúng nằm ngoài giới hạn cho mọi trang web khác.

Một sự vi phạm trắng trợn

“Một trong những nguyên tắc bảo mật cơ bản tồn tại trên web cũng như hệ thống di động được gọi là sandboxing,” Narseo Vallina-Rodriguez, một trong những nhà nghiên cứu đằng sau phát hiện này, cho biết trong một cuộc phỏng vấn. “Bạn chạy mọi thứ trong hộp cát và không có sự tương tác trong các phần tử khác nhau chạy trên đó. Những gì vector tấn công này cho phép là phá vỡ sandbox tồn tại giữa bối cảnh di động và bối cảnh web. Kênh tồn tại cho phép hệ thống Android truyền đạt những gì xảy ra trong trình duyệt với danh tính đang chạy trong ứng dụng di động.”

Bypass—mà Yandex bắt đầu vào năm 2017 và Meta bắt đầu vào tháng 9 năm ngoái— cho phép các công ty chuyển cookie hoặc số nhận dạng khác từ trình duyệt dựa trên Firefox và Chrome sang các ứng dụng Android gốc cho Facebook, Instagram và nhiều ứng dụng Yandex khác nhau. Sau đó, các công ty có thể gắn lịch sử duyệt web rộng lớn đó với chủ tài khoản đã đăng nhập vào ứng dụng.

Sự lạm dụng này chỉ được quan sát thấy ở Android và bằng chứng cho thấy Meta Pixel và Yandex Metrica chỉ nhắm mục tiêu đến người dùng Android. Các nhà nghiên cứu cho biết có thể khả thi về mặt kỹ thuật để nhắm mục tiêu iOS vì các trình duyệt trên nền tảng đó cho phép các nhà phát triển lập trình thiết lập kết nối localhost rằng các ứng dụng có thể giám sát trên các cổng cục b.

Tuy nhiên, trái ngược với iOS, Android áp đặt ít biện pháp kiểm soát hơn đối với thông tin liên lạc của máy chủ cục bộ và việc thực thi nền của các ứng dụng di động, các nhà nghiên cứu cho biết, đồng thời thực hiện các biện pháp kiểm soát chặt chẽ hơn trong quy trình kiểm tra cửa hàng ứng dụng để hạn chế những hành vi lạm dụng như vậy. Thiết kế quá dễ dãi này cho phép Meta Pixel và Yandex Metrica gửi yêu cầu web với số nhận dạng theo dõi web đến các cổng cục bộ cụ thể được các ứng dụng Facebook, Instagram và Yandex giám sát liên tục. Sau đó, các ứng dụng này có thể liên kết danh tính web có bút danh với danh tính người dùng thực tế, ngay cả trong chế độ duyệt web riêng tư, xóa ẩn danh hiệu quả thói quen duyệt web của người dùng’ trên các trang web chứa các trình theo dõi này.

Meta Pixel và Yandex Metrica là các tập lệnh phân tích được thiết kế để giúp các nhà quảng cáo đo lường hiệu quả của các chiến dịch của h. Meta Pixel và Yandex Metrica được ước tính sẽ được cài đặt trên 5.8 triệu và 3 triệu các trang web tương ứng.

Meta và Yandex đạt được mục tiêu vượt qua bằng cách lạm dụng chức năng cơ bản được tích hợp trong các trình duyệt di động hiện đại cho phép liên lạc giữa trình duyệt với ứng dụng gốc. Chức năng này cho phép trình duyệt gửi yêu cầu web đến các cổng Android cục bộ để thiết lập nhiều dịch vụ khác nhau, bao gồm cả kết nối đa phương tiện thông qua Giao thức RTC, chia sẻ tệp và gỡ lỗi nhà phát triển.

Mặc dù nền tảng kỹ thuật khác nhau nhưng cả Meta Pixel và Yandex Metrica đều đang thực hiện sử dụng sai giao thức “weird để có được quyền truy cập chưa được kiểm duyệt mà Android cung cấp cổng localhost trên địa chỉ IP 127.0.0.1. Trình duyệt truy cập các cổng này mà không cần thông báo của người dùng. Các ứng dụng gốc của Facebook, Instagram và Yandex âm thầm lắng nghe trên các cổng đó, sao chép số nhận dạng trong thời gian thực và liên kết chúng với người dùng đã đăng nhập vào ứng dụng.

Đại diện của Google cho biết hành vi này vi phạm các điều khoản dịch vụ dành cho thị trường Play của họ và kỳ vọng về quyền riêng tư của người dùng Android.

“Các nhà phát triển trong báo cáo này đang sử dụng các khả năng có trong nhiều trình duyệt trên iOS và Android theo những cách ngoài ý muốn, vi phạm trắng trợn các nguyên tắc bảo mật và quyền riêng tư của chúng tôi, người đại diện cho biết, đề cập đến những người viết Meta Pixel và Yandex Metrica JavaScript. “Chúng tôi đã thực hiện các thay đổi để giảm thiểu các kỹ thuật xâm lấn này và đã mở cuộc điều tra của riêng mình cũng như liên hệ trực tiếp với các bên.”

Meta đã không trả lời các câu hỏi được gửi qua email cho bài viết này nhưng đưa ra tuyên bố sau: “Chúng tôi đang thảo luận với Google để giải quyết một thông tin sai lệch tiềm ẩn liên quan đến việc áp dụng chính sách của họ. Khi nhận thức được những lo ngại, chúng tôi quyết định tạm dừng tính năng này trong khi làm việc với Google để giải quyết vấn đề.”

Trong một email, Yandex cho biết họ đã ngừng hoạt động này và cũng đã liên hệ với Google.

tuyên bố cho biết thêm, “Yandex tuân thủ nghiêm ngặt các tiêu chuẩn bảo vệ dữ liệu và không ẩn danh dữ liệu người dùng. “Tính năng được đề cập không thu thập bất kỳ thông tin nhạy cảm nào và chỉ nhằm mục đích cải thiện khả năng cá nhân hóa trong ứng dụng.” của chúng tôi

Cách Meta và Yandex hủy ẩn danh người dùng Android

Các nhà phát triển Meta Pixel đã lạm dụng nhiều giao thức khác nhau để thực hiện việc nghe lén kể từ khi hoạt động này bắt đầu vào tháng 9 năm ngoái. Họ bắt đầu bằng cách khiến các ứng dụng gửi yêu cầu HTTP đến cổng 12387. Một tháng sau, Meta Pixel ngừng gửi dữ liệu này, mặc dù các ứng dụng Facebook và Instagram vẫn tiếp tục theo dõi cổng.

Vào tháng 11, Meta Pixel đã chuyển sang một phương thức mới gọi WebSocket, một giao thức liên lạc hai chiều, qua cổng 12387.

Cùng tháng đó, Meta Pixel cũng triển khai một phương pháp mới được sử dụng WebRTC, giao thức giao tiếp ngang hàng thời gian thực thường được sử dụng để thực hiện cuộc gọi âm thanh hoặc video trong trình duyệt. Phương pháp này sử dụng một quá trình phức tạp được gọi là SDP trộn, một kỹ thuật cho mã JavaScript để sửa đổi dữ liệu Giao thức mô tả phiên trước khi nó được gửi. Vẫn được sử dụng ngày nay, việc trộn SDP của Meta Pixel chèn nội dung cookie khóa _fbp vào các trường dành cho thông tin kết nối. Điều này khiến trình duyệt gửi dữ liệu đó như một phần của a yêu cầu STUN đến máy chủ cục bộ Android, nơi ứng dụng Facebook hoặc Instagram có thể đọc nó và liên kết nó với người dùng.

Vào tháng 5, a bản beta của Chrome đã giới thiệu một biện pháp giảm thiểu chặn loại kết hợp SDP mà Meta Pixel đã sử dụng. Trong vòng vài ngày, Meta Pixel đã phá vỡ biện pháp giảm thiểu bằng cách thêm một phương thức mới hoán đổi các yêu cầu STUN với TURN yêu cầu.

Trong một bài đăng, các nhà nghiên cứu đã cung cấp mô tả chi tiết về cookie _fbp từ trang web đến ứng dụng gốc và từ đó đến máy chủ Meta:

1. Người dùng mở ứng dụng Facebook hoặc Instagram gốc, ứng dụng này cuối cùng được gửi xuống nền và tạo dịch vụ nền để lắng nghe lưu lượng truy cập đến trên cổng TCP (12387 hoặc 12388) và cổng UDP (cổng trống đầu tiên vào năm 12580–12585). Người dùng phải đăng nhập bằng thông tin xác thực của họ trên ứng dụng.
2. Người dùng mở trình duyệt của họ và truy cập trang web tích hợp Meta Pixel.
3. Ở giai đoạn này, một số trang web chờ sự đồng ý của users’ trước khi nhúng Meta Pixel. Trong các phép đo của chúng tôi về các trang chủ trang web 100K hàng đầu, chúng tôi đã tìm thấy các trang web yêu cầu sự đồng ý là thiểu số (hơn 75% các trang web bị ảnh hưởng không yêu cầu sự đồng ý của người dùng)...
4. Tập lệnh Meta Pixel được tải và cookie _fbp được gửi đến ứng dụng Instagram hoặc Facebook gốc thông qua WebRTC (STUN) SDP Munging.
5. Tập lệnh Meta Pixel cũng gửi giá trị _fbp trong một yêu cầu tới https://www.facebook.com/tr cùng với các tham số khác như URL trang (dl), siêu dữ liệu trang web và trình duyệt và loại sự kiện (ev) (ví dụ: PageView, AddToCart, Donate, Purchase).
6. Các ứng dụng Facebook hoặc Instagram nhận cookie _fbp từ Meta JavaScript chạy trên trình duyệt và truyền nó đến điểm cuối GraphQL (https://graph[.]facebook[.]com/graphql) cùng với các mã định danh người dùng liên tục khác, liên kết users’ fbp ID (truy cập web) với tài khoản Facebook hoặc Instagram của họ.

Trường hợp đầu tiên được biết đến về việc Yandex Metrica liên kết các trang web được truy cập trong trình duyệt Android với danh tính ứng dụng là vào tháng 5 năm 2017, khi trình theo dõi bắt đầu gửi yêu cầu HTTP đến các cổng cục bộ 29009 và 30102. Vào tháng 5 năm 2018, Yandex Metrica cũng bắt đầu gửi dữ liệu qua HTTPS tới các cổng 29010 và 30103. Cả hai phương pháp vẫn được giữ nguyên kể từ thời điểm xuất bản.

“Chúng tôi đang tích cực điều tra hành vi được báo cáo và nỗ lực để hiểu đầy đủ các chi tiết và ý nghĩa kỹ thuật của nó, ” Mozilla cho biết trong một email. “Dựa trên những gì chúng tôi đã thấy cho đến nay, chúng tôi coi đây là những vi phạm nghiêm trọng đối với các chính sách chống theo dõi của chúng tôi và đang đánh giá các giải pháp để bảo vệ chống lại các kỹ thuật theo dõi mới này.”

Các nhà nghiên cứu cảnh báo rằng các bản sửa lỗi hiện tại rất cụ thể đối với mã trong trình theo dõi Meta và Yandex nên sẽ dễ dàng bỏ qua chúng bằng một bản cập nhật đơn giản.

“Họ biết rằng nếu người khác đến và thử một số cổng khác, họ có thể bỏ qua biện pháp bảo vệ này, ” Gunes Acar, nhà nghiên cứu đằng sau phát hiện ban đầu, đề cập đến nhóm phát triển Chrome tại Google, cho biết. “Nhưng chúng tôi hiểu rằng họ muốn gửi thông điệp này rằng họ sẽ không dung thứ cho hình thức lạm dụng này.”

Nhà nghiên cứu Vallina-Rodriguez cho biết cách toàn diện hơn để ngăn chặn sự lạm dụng là Android phải đại tu cách xử lý quyền truy cập vào các cổng cục b.

“Vấn đề cơ bản là quyền truy cập vào ổ cắm máy chủ cục bộ hoàn toàn không được kiểm soát trên Android, ông giải thích. “Không có cách nào để người dùng ngăn chặn loại giao tiếp này trên thiết bị của họ. Do tính chất năng động của mã JavaScript và khó khăn trong việc cập nhật danh sách chặn, cách đúng đắn để chặn danh sách chặn này liên tục là hạn chế loại truy cập này ở cấp độ nền tảng di động và trình duyệt, bao gồm các chính sách nền tảng chặt chẽ hơn để hạn chế lạm dụng.”

Có sự đồng ý?

Các nhà nghiên cứu đã thực hiện khám phá này là:

• Aniketh Girish, nghiên cứu sinh tại Mạng IMDEA
• Gunes Acar, trợ lý giáo sư ở Đại học Radboud Nhóm bảo mật kỹ thuật số & iHub
• Narseo Vallina-Rodriguez, phó giáo sư tại IMDEA Networks
• Nipuna Weerasekara, nghiên cứu sinh tại IMDEA Networks
• Tim Vlummens, nghiên cứu sinh tại COSIC, KU Leuven

Acar cho biết lần đầu tiên anh nhận thấy Meta Pixel truy cập các cổng địa phương khi truy cập trang web của trường đại học của riêng mình.