Мы раскрыли новый метод отслеживания, используемый компаниями Meta и Яндекс, который потенциально затрагивает миллиарды пользователей Android. Мы обнаружили, что нативные приложения Android — включая Facebook, Instagram и несколько приложений Яндекса, таких как Карты и Браузер — незаметно слушают определенные локальные порты в целях отслеживания.
Эти нативные приложения Android получают метаданные браузеров, куки и команды от скриптов Meta Pixel и Яндекс.Метрики, встроенных на тысячи веб-сайтов. Эти скрипты загружаются в мобильных браузерах пользователей и незаметно связываются с нативными приложениями, работающими на том же устройстве, через локальные сокеты (localhost). Так как нативные приложения программно получают доступ к идентификаторам устройства, таким как рекламный идентификатор Android (AAID), или обрабатывают идентификацию пользователя, как в случае приложений Meta, этот метод позволяет этим организациям связывать сессии мобильного браузера и веб-куки с личностью пользователя, тем самым деанонимизируя посетителей сайтов, на которых размещены их скрипты.
Этот способ передачи идентификаторов из браузера в приложение обходит типичные средства защиты приватности, такие как очистка куки, режим инкогнито и контроль разрешений Android. Более того, он открывает возможность для потенциально вредоносных приложений подслушивать веб-активность пользователей.
Как это работает?
Хотя существуют тонкие различия в том, как Meta и Яндекс связывают веб- и мобильные контексты и идентификаторы, по сути обе компании злоупотребляют неконтроллируемым доступом к localhost-сокетам. Операционная система Android позволяет любому установленному приложению с разрешением INTERNET открывать прослушивающий сокет на интерфейсе loopback (127.0.0.1). Браузеры, работающие на том же устройстве, также имеют доступ к этому интерфейсу без согласия пользователя или вмешательства платформы. Это позволяет JavaScript-коду, внедрённому в веб-страницы, взаимодействовать с нативными Android-приложениями и передавать идентификаторы и информацию о действиях пользователя, соединяя эфемерные веб-идентификаторы с долгоживущими идентификаторами мобильных приложений с помощью стандартных веб-API.
Передача cookie fbp от Meta/Facebook Pixel с веба в приложения Meta на AndroidJavaScript-код
Meta (Facebook) Pixel, загруженный в мобильном веб-браузере Android, передаёт first-party cookie _fbp с помощью WebRTC на UDP-порты 12580–12585 любому приложению на устройстве, которое прослушивает эти порты. Мы обнаружили, что принадлежащие Meta Android-приложения Facebook (версия 515.0.0.23.90) и Instagram (версия 382.0.0.43.84), доступные в Google Play Store, прослушивают этот диапазон портов.
С 25 2025 года (в оригинальной статье дата написана именно так - прим. переводчика) Meta Pixel использует технологию, известную как SDP Munging, для вставки содержимого файла cookie _fbp в поле SDP «ice-ufrag», в результате чего сообщение Binding Request STUN отправляется на localhost, как показано на следующем рисунке. Этот поток данных не может быть отслежен с помощью обычных инструментов отладки Chrome (таких как DevTools).
Весь процесс передачи куки _fbp от веб-сайта к нативному приложению и серверу выглядит следующим образом:
Пользователь открывает нативное приложение Facebook или Instagram, которое в конечном итоге отправляется в фоновый режим и создает фоновый сервис для прослушивания входящего трафика на TCP-порту (12387 или 12388) и UDP-порту (первый незанятый порт в диапазоне 12580-12585). Пользователи должны войти в приложения с помощью своих учетных данных.
Пользователь открывает браузер и посещает веб-сайт, на котором интегрирован Meta Pixel.
На этом этапе веб-сайты могут запрашивать согласие в зависимости от местоположения веб-сайта и посетителя.
Скрипт Meta Pixel отправляет cookie _fbp в нативное приложение Instagram или Facebook через WebRTC (STUN) SDP Munging.
Скрипт Meta Pixel также отправляет значение _fbp в запросе на https://www.facebook.com/tr вместе с другими параметрами, такими как URL-адрес страницы (dl), метаданные веб-сайта и браузера, а также тип события (ev) (например, PageView, AddToCart, Donate, Purchase).
Приложения Facebook или Instagram получают файл cookie fbp от JavaScript Meta Pixel, работающего в браузере. Приложения передают fbp в виде GraphQL на (https://graph[.]facebook[.]com/graphql) вместе с другими постоянными идентификаторами пользователей, связывая _fbp ID (посещение веб-сайта) пользователей с их учетной записью Facebook или Instagram.
Примерно 17 мая Meta Pixel добавила в свой скрипт новый метод, который отправляет cookie _fbp с помощью WebRTC TURN вместо STUN. Новый метод TURN позволяет избежать SDP Munging, об отключении которого разработчики Chrome публично объявили после нашего раскрытия информации. По состоянию на 2 июня 2025 года мы не наблюдали, чтобы приложения Facebook или Instagram активно прослушивали эти новые порты.
О куке _fbp
Согласно Политике Meta в отношении cookie, cookie _fbp идентифицирует браузеры с целью предоставления рекламных услуг и услуг по аналитике сайтов и имеет срок действия 90 дней. Эта cookie присутствует примерно на 25% из миллиона самых популярных веб-сайтов, что делает ее третьей по популярности first-party cookie в Интернете, согласно Web Almanac 2024.
First-party cookie означает, что она не может использоваться для отслеживания пользователей на разных веб-сайтах, поскольку она устанавливается в рамках домена веб-сайта. Это означает, что один и тот же пользователь имеет разные файлы cookie _fbp на разных веб-сайтах. Однако метод, который мы раскрываем, позволяет связывать разные cookie fbp с одним и тем же пользователем, что обходит существующие меры защиты и противоречит интересам пользователей.
Яндекс использует коммуникацию с localhost с 2017 года
Скрипт Яндекс.Метрика инициирует HTTP-запросы с длинными и непрозрачными параметрами к localhost через определенные TCP-порты: 29009, 29010, 30102 и 30103. Наше расследование показало, что приложения, принадлежащие Яндексу, такие как Яндекс.Карты и Яндекс.Навигатор, Яндекс.Поиск и Яндекс.Браузер, активно прослушивают эти порты. Кроме того, наш анализ показывает, что домен yandexmetrica[.]com резолвится в адрес обратной связи 127.0.0.1, а скрипт Яндекс.Метрика передает данные по HTTPS на локальные порты 29010 и 30103. Такой подход затрудняет обнаружение процесса "вывода" данных, что усложняет работу традиционных механизмов обнаружения.
Приложения Яндекса обращаются к домену Yandex (startup[.]mobile[.]yandex[.]net или подобному) для получения списка портов, которые необходимо прослушивать. Эндпоинт возвращает JSON, содержащий локальные порты (например, 30102, 29009) и параметр «first_delay_seconds», который, по нашему мнению, используется для задержки запуска службы. На одном из наших тестовых устройств first_delay_seconds примерно соответствовал количеству секунд, которое потребовалось приложению Яндекса для начала прослушивания локальных портов (~3 дня).
После получения HTTP-запросов localhost от скрипта Яндекс.Метрик мобильное приложение отвечает двоичными данными, закодированными в Base64, в которых содержится Android Advertising ID (AAID) вместе с другими идентификаторами, доступными из Java API, такими как рекламный ID Google и UUID, потенциально специфичные для Яндекса. В отличие от случая с Meta Pixel, вся эта информация агрегируется и загружается на сервер Яндекс.Метрика (например, mc[.]yango[.]com) с помощью кода JavaScript, выполняемого в веб-браузере, а не с помощью нативного приложения. В случае с Яндексом нативное приложение действует как прокси для сбора нативных идентификаторов Android и передачи их в контекст браузера через localhost.
Весь процесс коммуникации Яндекса от веб-приложения к нативному приложению и серверу выглядит следующим образом:
Пользователь открывает одно из нативных приложений Яндекса, которое в конечном итоге отправляется в фоновый режим и создает фоновый сервис для прослушивания входящего трафика на двух HTTP-портах (29009 и 30102) и двух портах (29010 и 30103).
Пользователь открывает браузер и посещает веб-сайт, на котором интегрирован скрипт Яндекс.Метрика.
Скрипт Яндекса отправляет запрос на свои серверы для получения зашифрованных параметров.
Эти зашифрованные параметры отправляются на localhost через HTTP и HTTPS. Это происходит с URL-адресом, который либо напрямую содержит IP-адрес 127.0.0.1, либо домен yandexmetrica[.]com, который разолвится в 127.0.0.1.
SDK Яндекс.Метрики в приложении получает эти параметры и отвечает скрипту Яндекс.Метрики на веб-сайте ответом 200 OK, содержащим зашифрованные идентификаторы устройств.
Скрипт Яндекс.Метрики на веб-сайте получает эти идентификаторы и отправляет их на свои серверы вместе с зашифрованными параметрами.
В этой таблице представлены приложения, принадлежащие Яндексу, которые мы обнаружили на портах localhost. Для каждого приложения мы также указываем его уникальное имя пакета и версию, использованную для тестирования.
Yandex app |
Package name |
Tested version |
|---|---|---|
Yandex Maps |
|
23.5.0 |
Yandex Navigator |
|
23.5.0 |
Yandex Browser |
|
25.4.1.100 |
Yandex Search |
|
25.41 |
Metro in Europe — Vienna |
|
3.7.3 |
Yandex Go: Taxi Food |
|
5.24.1 |
Дополнительный риск: утечка истории браузера
Использование HTTP-запросов для обмена идентификаторами между веб-приложениями и нативными приложениями (т. е. не WebRTC STUN или TURN) может привести к раскрытию истории браузера пользователей третьим лицам. Злонамеренное стороннее приложение для Android, которое также прослушивает вышеупомянутые порты, может перехватить HTTP-запросы, отправленные скриптом Яндекс.Метрики, и первую, теперь неиспользуемую реализацию канала связи Meta, отслеживая HTTP-заголовок Origin.
Мы разработали приложение для демонстрации возможности сбора истории просмотров злонамеренным сторонним приложением. Мы обнаружили, что браузеры Chrome, Firefox и Edge уязвимы для этой формы утечки истории просмотров как в стандартном, так и в приватном (инкогнито) режиме просмотра. Браузер Brave не подвержен этой проблеме благодаря своему списку блокировки и блокировке запросов к localhost; а DuckDuckGo подвержен этой проблеме в минимальной степени из-за отсутствия доменов в его списке блокировки.
Хотя существует вероятность, что другие приложения могут прослушивать эти порты, мы не обнаружили ни одного приложения, не принадлежащего Meta или Яндексу, которое бы прослушивало эти порты.
Ссылка на видеодемонстрацию: https://localmess.github.io/assets/video/Yandex_Browsers_compressed.mp4
Поскольку Яндекс использует HTTP-запросы для связи с локальным хостом, любое приложение, прослушивающее необходимые порты, может отслеживать веб-сайты, которые посещает пользователь, с помощью функций отслеживания, как показано в видео выше. Сначала мы открываем наше приложение для проверки концепции, которое прослушивает порты, используемые Яндексом, и отправляем его в фоновый режим. Затем мы посещаем пять веб-сайтов в разных браузерах. После этого мы видим URL-адреса этих пяти сайтов, перечисленные в приложении
Затронутые сайты
Согласно BuiltWith, веб-сайту, который отслеживает внедрение веб-технологий: Meta Pixel встроен в более чем 5,8 миллиона веб-сайтов. Яндекс.Метрика, с другой стороны, присутствует на почти 3 миллионах веб-сайтов. Согласно HTTP Archive, открытому и общедоступному набору данных, который ежемесячно сканирует около 16 миллионов веб-сайтов, Meta Pixel и Яндекс.Метрика присутствуют на 2,4 миллиона и 575 448 веб-сайтах соответственно.
Сканирование 100 000 самых популярных домашних страниц: мы провели два сканирования 100 000 самых популярных сайтов (по рейтингу CrUX) с серверов, расположенных во Франкфурте и Нью-Йорке, чтобы оценить, насколько широко используются сокеты localhost на сайтах. В следующей таблице показано количество сайтов, на которых было обнаружено данное явление. В первой колонке для каждого региона указано количество сайтов, встраивающих эти трекеры при принятии всех форм согласия на использование файлов cookie. Во второй колонке (с пометкой «без согласия») указано количество сайтов, которые по умолчанию активно пытаются установить связь с localhost, как только пользователь загружает их в браузере, т. е. потенциально без согласия пользователя.
Script name |
US presence |
US no consent |
Europe presence |
Europe no consent |
|---|---|---|---|---|
Meta Pixel |
17,223 |
13,468 (78.2%) |
15,677 |
11,890 (75.8%) |
Yandex Metrica |
1,312 |
1,095 (83.5%) |
1,260 |
1,064 (84.4%) |
Когда это началось?
В следующей таблице показана эволюция методов, используемых Яндексом и Meta, с указанием даты, когда каждый метод был впервые замечен на основе исторических данных HTTP Archive.
Method |
Start date (first seen) |
End date (last seen) |
Ports |
Har files |
|
|---|---|---|---|---|---|
Yandex |
HTTP |
Feb 2017 |
- |
29009, 30102 |
|
HTTPS |
May 2018 |
- |
29010, 30103 |
- |
|
Meta |
HTTP |
Sep 2024 |
Oct 2024* |
12387 |
|
Websocket |
Nov 2024 |
Jan 2025 |
12387 |
||
WebRTC STUN (w/ SDP Munging) |
Nov 2024 |
- |
12580-12585 |
||
WebRTC TURN** (w/o SPD Munging) |
May 2025 |
- |
12586-12591 |
- |
Векторы злоупотребления
Этот новый метод отслеживания использует неограниченный доступ к сокетам localhost на платформах Android, включая большинство браузеров Android. Как мы показываем, эти трекеры выполняют эту практику без ведома пользователей, поскольку текущие средства контроля конфиденциальности (например, подходы с использованием песочниц, разрешения мобильных платформ и браузеров, модели согласия в Интернете, режимы инкогнито, сброс мобильных рекламных идентификаторов или очистка файлов cookie) недостаточны для контроля и смягчения этой проблемы.
Раскрытие информации
Наше ответственное раскрытие информации основным вендорам браузеров для Android привело к появлению нескольких патчей, направленных на устранение этой проблемы; некоторые из них уже внедрены, другие находятся в стадии разработки. Мы благодарим всех участвующих вендоров (Chrome, Mozilla, DuckDuckGo и Brave) за их активное сотрудничество и конструктивное участие на протяжении всего процесса. Другие браузеры на базе Chromium должны следовать изменениям в апстриме, чтобы исправить свои собственные продукты.
Однако, помимо этих краткосрочных исправлений, для полного решения проблемы потребуется более широкий набор мер, поскольку они не охватывают фундаментальные ограничения методов и политик песочницы платформ. К ним относятся средства контроля, ориентированные на пользователей, для оповещения их о доступе к localhost, более строгие политики платформ, сопровождаемые последовательными и строгими мерами по предотвращению злоупотреблений, а также усиление безопасности механизмов межпроцессного взаимодействия (IPC) Android, особенно тех, которые полагаются на соединения localhost.
Browser |
Version |
Yandex |
Mitigations |
|
|---|---|---|---|---|
Chrome |
136.0.7103.125 |
Affected |
Affected |
Версия 137, выпущенная 26 мая 2025 года, содержала меры противодействия для блокировки злоупотребляемых портов и отключения конкретной формы SDP-мунгинга, которую использовал Meta Pixel. По состоянию на 2 июня 2025 года эти меры защиты проходят испытания для части пользователей Chrome и, вероятно, скоро будут доступны для широкой публики. Наши тесты показали, что эти меры защиты блокируют используемые в настоящее время формы локального обмена данными Meta и Яндекс. В долгосрочной перспективе предлагаемый стандарт доступа к локальной сети может стать более принципиальным решением для ограничения такого рода злоупотреблений. |
Microsoft Edge |
136.0.3240.50 |
Affected |
Affected |
(неизвестно) |
Firefox |
138.0.2 |
Affected |
Not affected.1 |
В процессе. |
DuckDuckGo |
5.233.0 |
Minimally affected2, 3 |
Not affected3 |
Дополнен черный список |
Brave |
1.78.102 |
Not affected3 |
Not affected3, 4 |
Не затронуто. С 2022 года для связи с localhost требуется согласие пользователя, а также реализован черный список адресов. |
SDP-обработка учетных данных ICE заблокирована, однако UDP-соединения с портами TURN пока не заблокированы (они будут заблокированы в версии 138). Мета-приложения, которые мы тестировали, на момент выпуска не прослушивают порты TURN, но скрипты Meta Pixel уже отправляют данные на порты TURN.
Три альтернативных домена Yandex отсутствовали в списке блокировки DuckDuckGo, но эти домены появлялись на очень небольшом количестве веб-сайтов (31/100K). DuckDuckGo быстро исправил свой список блокировки, чтобы устранить эту уязвимость.
Защита на основе списка блокировки.
Блокирует запросы к «127.0.0.1» и «localhost».
Владельцы веб-сайтов знают об этом?
Мы не нашли никакой публичной документации от Meta или официальной документации Яндекса, описывающей этот метод и его цель. В отношении Meta Pixel мы нашли несколько жалоб от озадаченных владельцев веб-сайтов, которые задавали вопрос, почему Meta Pixel связывается с localhost, на форумах разработчиков Facebook в сентябре 2024 года:
Эти жалобы поступают со всего мира. В этих ветках нет официального ответа от представителей Meta. Один разработчик заявил в сентябре 2024 года: "Однако от Meta не поступило никакого подтверждения по этому поводу. Мой запрос в службу поддержки получил общий ответ, а затем был проигнорирован." "Жаль, что ответственность не была взята на себя, мы полагаемся на то, что эти инструменты работают правильно, и не имеем над ними контроля, поэтому, как минимум, нам должны дать объяснение, что пошло не так."
Знают ли об этом конечные пользователи?
Вполне вероятно, что пользователи, просматривающие Интернет и посещающие сайты, интегрирующие Яндекс и Meta ID, связывающие веб-приложения и нативные приложения, могут не быть полностью осведомлены об этом поведении. Фактически, новый метод отслеживания работает даже в том случае, если пользователь:
не залогинен в Facebook, Instagram или Яндексе в своем мобильном браузере
использует режим инкогнито
очищает свои куки или другие данные браузера
Этот метод отслеживания обходит межпроцессную изоляцию Android и средства защиты от отслеживания, основанные на разделении, песочнице или очистке состояния на стороне клиента.
Предварительные результаты показывают, что эти методы могут быть реализованы на веб-сайтах без явных и надлежащих форм согласия на использование файлов cookie. Если сайт загружает скрипты Facebook или Яндекса до того, как пользователь дал согласие на использование соответствующих файлов cookie, это поведение все равно будет запущено.
Q&A
В: Почему Facebook перестал использовать эту технику в день вашего публичного заявления?
О: Мы не знаем ¯\_(ツ)_/¯, но рады видеть, что после нашего заявления (по крайней мере, на данный момент) пользователи Android больше не подвергаются этому типу злоупотребления.
В: Прошло ли это исследование экспертную оценку?
О: Наши выводы были подтверждены некоторыми сторонами, которым мы их раскрыли, но исследование еще не прошло экспертную оценку. Мы решили не откладывать публичное раскрытие информации из-за серьезности активного злоупотребления.
В: Раскрыли ли Meta или Яндекс этот метод в своей документации?
О: Мы не нашли публичной технической документации от Meta или Яндекса, описывающей эту конкретную технику связи на основе localhost. На форумах разработчиков Facebook некоторые высказывали опасения по поводу скриптов Pixel, связывающихся с localhost, но не получили никаких объяснений.
В: Это касается только пользователей Android? А как насчет iOS или других платформ?
О: Мы получили только эмпирические доказательства того, что веб-скрипты Meta и Яндекса, которые соединяют веб-адреса с нативными идентификаторами, были нацелены исключительно на мобильных пользователей Android. В браузерах и приложениях iOS, которые мы тестировали, не было обнаружено никаких доказательств злоупотребления. Тем не менее, аналогичный обмен данными между браузерами iOS и нативными приложениями технически возможен. Браузеры iOS, которые все основаны на WebKit, позволяют разработчикам программно устанавливать соединения с localhost, а приложения могут прослушивать локальные порты. Возможно, технические и политические ограничения на запуск нативных приложений в фоновом режиме объясняют, почему пользователи iOS не были целью этих трекеров. Однако мы отмечаем, что наш анализ iOS все еще является предварительным, и такое поведение могло также нарушать политику PlayStore. Помимо мобильных платформ, соединение веб-идентификаторов с нативными идентификаторами может также представлять угрозу для настольных ОС и платформ смарт-телевизоров, но мы еще не исследовали эти платформы.
ОБНОВЛЕНИЕ: По состоянию на 3 июня, 7:45 CEST, скрипт Meta/Facebook Pixel больше не отправляет пакеты или запросы на localhost. Код, отвечающий за отправку файла cookie _fbp, был почти полностью удален.
Дополнительные материалы:
P.S. Эта статья - перевод. Оригинал здесь: https://localmess.github.io/
Авторы исследования:
Aniketh Girish (PhD student) |
IMDEA Networks |
|
Gunes Acar (Assistant Professor) |
Radboud University, Digital Security Group & iHub |
|
Narseo Vallina-Rodriguez (Associate Professor) |
IMDEA Networks |
|
Nipuna Weerasekara (PhD student) |
IMDEA Networks |
|
Tim Vlummens (PhD student) |
COSIC, KU Leuven |
Комментарии (160)
digrobot
04.06.2025 19:42По сути это функции бэкдора в приложениях, гугл должен их все немедленно забанить.
И впредь не разрешать открывать сокеты без отдельного согласия.
bigbamblbee
04.06.2025 19:42Это никакой не бэкдор, автор просто упоротый (о чем любезно поведует его ник), и впаривает какой-то инфомусор, сгенерированный дипсиком, приправленный какими-то больными метафорами и воплями.
1) Приложение запукает на хосте (сиречь на Андроиде) tcp/udp сервер, открывает порт, делает LISTEN. Абсолютно ничего незаконного, это суть архитектуры клиент-сервер.
2) Юзер открывает в браузере специальный сайт, который загружает JS-код, которые берет куки с этого сайта и шлет их рандомно на рандомные порты(поскольку порты в диапазоне 1000-65535 могут быть заняты любым приложением/службой.
3) Приложение получает куки через лупбэк (хотя скрипт на странице мог эти прекрасно выслать на любой адрес в сети вообще, если ему это нужно)
4) Автор жжжолтой статьи на Хабре кричит "ужос", все пропало, нас взломали!!! Ахтунг!
Реально народ, читайте книжки, хотя бы "Компьютерные сети" Таненбаума и его же "Современные операционые системы", и будет вам счастье. А то смешно, внук у бабушки удалил все ярлыки с рабочего стола, стопудово хацкер.
NekitoSP
04.06.2025 19:42Ваще в вашем стиле можно оправдать любой зловред. Это ведь суть архитектуры исполняемых файлов - быть исполненными.
Но если по делу - в п.3 как раз ключевое отличие:
3) Приложение получает куки через лупбэк (хотя скрипт на странице мог эти прекрасно выслать на любой адрес в сети вообще, если ему это нужно)
да, можно выслать хоть куда, но какая от этого кукиса польза с приватной вкладки (т.е. обезличенной).
Вместо этого кукис шлётся на локальный порт в аппку где пользователь уже авторизован, и вот приватная кука обрастает связью с вполне себе реальной учеткой.
И тут кстати можно граф связей принадлежности учеток к одной личности выстраивать, если в браузере будет залогинена учетка А, а в приложении - учетка Б.
unclejocker
04.06.2025 19:42Начать надо с понимания, что если вы запускаете у себя приложение конторы, которая живет за счет слежки за пользователями, то вы добровольно продаете ей себя. Тем более, если оставляете его крутиться в фоновом режиме.
Полностью понимаю желание продаться как можно меньше, но плакать "какие злодеи эти (вставить нужное), как они заманили меня сервисом и хитро впарили мне рекламу" - ну такое.
JastixXXX
04.06.2025 19:42А как на счет предустановленных сервисов и приложений от яндекса (а сейчас на многие устройства они установлены сразу из магазина)? Нет, можно конечно снести, но не каждый это умеет или хочет заниматься, и вот пользователь вроде бы и не хотел, но все равно продался получается...
Хотя я не знаю, работает ли сервис яндекса на постоянку, если не запускать его приложения. Если не работает, то мои придирки беспочвенны.
WinLin2
04.06.2025 19:42Android удаляет разрешения у установленного приложения, если им не пользуешься. Подходит?
JastixXXX
04.06.2025 19:42А этот механизм вообще работает на всё предустановленное? Просто на планшете родственника какой-то сервис яндекса без рута не удалить (конкретное имя не помню, не вчера было). Я так понимаю данный сервис достаточно глубоко в системе, есть подозрение что на него такая политика не распространится.
nidalee
04.06.2025 19:42Если приложение системное, без adb с ним ничего сделать нельзя. Будет работать в фоне и, вроде как, даже в статистике аккумулятора не отобразится.
outlingo
04.06.2025 19:42Он удаляет только всякие геолокации-видео-камеры. Базовые фичи типа доступа в сеть он не удаляет.
Mihaelc
04.06.2025 19:42скрипт на странице мог эти прекрасно выслать на любой адрес в сети
Мне кажется, вы не поняли суть проблемы. Отправить на адрес можно, но бесполезно. Тут речь про связь куки с аккаунтом пользователя в приложении.
ps блин, а может вы так злобно пишете, тк вы из фб/яндекса?)
Uporoty Автор
04.06.2025 19:42автор просто упоротый, и впаривает какой-то инфомусор, сгенерированный дипсиком
Вы бы хоть сначала разобрались, кто именно авторы исследования, прежде чем позориться. Подсказка: это исследователи из IMDEA Networks (Испания), Университета Неймегена (Нидерланды) и Лёвенского университета (Бельгия)
Кстати, серьезность проблемы, обнаруженной в исследовании, подтвердили и разработчики бразуеров, начав оперативно выпускать фиксы для этой уязвимости.
Юзер открывает в браузере специальный сайт
Не "специальный сайт", а один из сотен тысяч популярнейших сайтов, на которых есть маячки Меты или Яндекса
оскольку порты в диапазоне 1000-65535 могут быть заняты любым приложением/службой.
Об этом есть в статье. Исследователи не обнаружили ни одного популярного приложения, которое бы слушало эти порты на локалхосте, кроме приложений Меты и Яндекса.
хотя скрипт на странице мог эти прекрасно выслать на любой адрес в сети вообще, если ему это нужно
Для нужных им целей - не может. У них в данном случае заадача - сопоставить незалогиненного или инкогнито пользователя в браузере и залогиненного пользователя в приложении.
Реально народ, читайте книжки, хотя бы "Компьютерные сети" Таненбаума и его же "Современные операционые системы", и будет вам счастье
К вам это в первую очередь относится. Пока что вы своим комментарием демонстрируете уровень скрипткиддиса начитавшегося в 2000-х низкопробных статеек в журналах и форумов уровня средней школы. Повышайте свой уровень и не больше не позорьтесь.
приправленный какими-то больными метафорами и воплями.
Пока что истерика только у вас в комментариях. Это случайно не вы разработчик или менеджер Яндекса, который сделал эту штуку, и теперь сильно обижен, что оказался пойман за руку? :)
NutsUnderline
04.06.2025 19:42лично мне немного не хватило в статье именно такого простого последовательного объяснения. А не как это описано тут во вступлении.
незаметно слушают определенные локальные порты в целях отслеживания.
Тут вообще может создаться впечатление что мониториться весь проходящий трафик. Пожалуй изза "тонкостей перевода" термина "слушать".
Потом то я конечно понял суть проблемы (и немного офигел) - как раз в стиле @bigbamblbeeи получилось.
Uporoty Автор
04.06.2025 19:42Пожалуй изза "тонкостей перевода" термина "слушать".
ну, "слушать порт" - это вполне нормальная и общепринятая терминология (калька с английского listen) среди разработчиков сетевых приложений.
но соглашусь, для непосвященного пользователя может быть не совсем понятно.
nuclight
04.06.2025 19:42Только корректнее переводить будет "слушать на порту", чтоб таких недопониманий не возникало.
digrobot
04.06.2025 19:42начав оперативно выпускать фиксы для этой уязвимости
Не соглашусь, что это уязвимость браузера. Веб архитектурно задуман так, что браузер может тянуть скрипты хоть откуда, и делать запросы хоть куда. Потом стали добавлять ограничения, но выглядит это как полумера и костыль, периодически протекает то тут, то там.
Я встречал случаи, когда браузер взаимодействует с локальным приложением через сокет, и это нормально, потому что приложение именно для этого и предназначено.
А вот приложение для вызова такси никак не должно обмениваться данными с браузером.
Следующим шагом приложения будут обмениваться приватными данными между собой. Или давно уже это делают.
numark
04.06.2025 19:42Если бы все было так просто и "легально", фейсбук не отключил бы весь этот функционал сразу после публикации.
>ОБНОВЛЕНИЕ: По состоянию на 3 июня, 7:45 CEST, скрипт Meta/Facebook Pixel больше не отправляет пакеты или запросы на localhost. Код, отвечающий за отправку файла cookie _fbp, был почти полностью удален.
php7
04.06.2025 19:42Я всегда с недоверием относился к приложениям
landedK
04.06.2025 19:42Последние 5 лет, когда всякие скидочные и клубные карты заменили - "ставьте наше приложение" - вообще беда. Заправка - приложение, Продукты-аптека-кафешка-ресторан - приложения. И каждое сидит в фоне и постукивает домой, кушая аккум и приватность. Зато крутые "веб-разрабы" нашли себе работы, взрастили рынок и паразитируют с всё более и более абсурдными "приложениями".
HardWrMan
04.06.2025 19:42И это ещё без относительно контроля за ультразвуковыми маячками. https://habr.com/ru/articles/403733/
NutsUnderline
04.06.2025 19:42Там про Макдональс какой то я и не знаю такого :)
заметно позже была статья о том что якобы телевизоры что то по УЗ слушают/излучают. Но выглядело еще более сомнительно плюс большие вопросы к качеству зукового тракта.
php7
04.06.2025 19:42Кстати, на десктопе при попытке обратиться к 10.0.0.0/8 получал
Access to script at from origin has been blocked by CORS policy: "The request client is not a secure context and the resource is in more-private address space
private.и не знал как его обойти.
Olegun
04.06.2025 19:42Тема "Что об это думает Google" не раскрыта.
StreetMagic14
04.06.2025 19:42Гуглу пофигу, они получают львиную долю метрик)
Возможно, пальчиком пригрозят, либо приложение снесут.
Mupok
04.06.2025 19:42хотелось бы знать как ВК что-то узнает, когда ему не разрешён микрофон, а после разговоров во время чая, он начинает слать рекламу на тему разговора
Uporoty Автор
04.06.2025 19:42В первую очередь это феномен Баадера-Майнхоф.
Плюс если кто-то из участников чая гуглил или упоминал в переписке тему разговора до или после этого разговора, то заматчить его и других участников (та же самая геолокация, та же самая вайфай-сеть рядом, или просто частые контакты) элементарно, и дальше вступает в игру тот же самый упомянутый выше феномен.
redfoxxy12
04.06.2025 19:42>В первую очередь это феномен Баадера-Майнхоф.
Контекстная реклама в подавляющем большинстве случаев не ведется "по площадям", она потому и контекстная. Скорее всего вам не покажут рекламу отелей на Кубе, если вы не интересовались туризмом на Кубу хотя бы косвенно. Тем более уж если вы совсем не занимаетесь туризмом. Если вам показывают узкоспециализированную контекстную рекламу - гораздо разумнее предположить, что каким-то образом рекламная сеть решила, что это вам может быть интересно, чем предполагать что некто вдруг решил слить рекламный бюджет на нецелевую аудиторию.unclejocker
04.06.2025 19:42Ваши контакты в том же городе/районе интересовались туризмом на кубе? А вдруг вы вместе думаете поехать? Не удалось продать им, может быть получится продать вам?
unC0Rr
04.06.2025 19:42У меня буквально на днях был такой случай: чистил зубы, и заметил, что у одного из них повышенная чувствительность, если надавить ногтём, сделал себе заметку в голове купить специальную зубную пасту. На следующий день мне эту пасту впервые в жизни рекламировали на ютубе, хотя никакой возможности отследить мою заинтересованность не было. Я не носил мобильник в ванну, ни с кем не обсуждал эту проблему, ещё не успел зайти в магазин. Просто такое совпадение.
Merkan
04.06.2025 19:42Или не совпадение.
unC0Rr
04.06.2025 19:42Из всех механизмов узнавания о моём зубе остаются чтение мыслей на расстоянии и подстраивание проблемы.
Tab10id
04.06.2025 19:42Есть ещё вариант с анализом образа жизни через отслеживание списка покупок, перемещения и т.п. В большинстве случаев больные зубы это закономерность, а не случайность ;-)
Mupok
04.06.2025 19:42С теми с кем обсуждал тему разговора контактов телефонных номеров нет. Вайфая нет...
redfoxxy12
04.06.2025 19:42Стоматология как раз не особо узкоспецилиазированная тема. Как вам такой пример - ко мне в гости зашел друг, и сказал что у него умерла кошка. Вечером РСЯ показывала мне рекламу кремации домашних животных, которых у меня в принципе нет и не было последние 10 лет. Единственное что приходит на ум помимо прослушки - друг подключался к моей точке доступа Wi-Fi.
Uporoty Автор
04.06.2025 19:42друг подключался к моей точке доступа Wi-Fi
Этого более чем достаточно.
kenomimi
04.06.2025 19:42В первую очередь это феномен Баадера-Майнхоф.
Классическая отговорка, похожая на то, когда кого-то тыкают носом в реальный подтвержденный фактами заговор, а он начинает верещать, что "вам к доктору вы верите в теории заговоров".
Функционал прослушки потока есть на всех трех экосистемах голосовых помощников - и у яблока, и у гугла, и у яндекса. Та же Алиса еще и шутки шутит местами, особенно часто, когда разговор идет о военной технике в ее присутствии - неоднократно лично проверял - вроде на вид всё закрыто (но нет - навигатор был свернут, однако не закрыт). Другой вопрос, что на сервер поток не передается, насколько понимаю, анализ идет в мелкой локальной нейросетке и на сервер уже уходят метаданные о том, что удалось распознать.
Люди просто не выключают ГП, вот он и слушает. Еще он встроен в пачку приложений, и может слушать оттуда. Гугл и Сири вообще частично сидят в специально отведенном для них ULP проце и слушают всегда без значка микрофона, если включены. ИЧСХ, это нормальный функционал ГП.
Uporoty Автор
04.06.2025 19:42Читайте внимательнее. Вопрос выше был не про голосовые помошники, а про обычные приложения, которые вообще не имеют доступа к микрофону, но тем не менее успешно проворачивают все эти рекламные трюки (потому что их можно провернуть гораздо проще другими способами вообще без прослушки).
Ну а сам феномен действительно существует, нравится вам это или нет. Вон чуть выше хороший пример уже привели. И не забываем про бритву Оккама.
cpcat
04.06.2025 19:42Этот ULP способен распознавать лишь только несколько жёстко заданных фраз типа "окей гугл", чтобы активировать помощника, который уже слушает по обычной схеме. Иначе бы батарейка высаживалась за час.
redfoxxy12
04.06.2025 19:42В 2020 году мой Samsung M31 держал заряд чуть ли не по три дня пока у него не деградировала батарея, в 2024 Redmi Note 13 высаживался уже за 1 день (в режиме экрана 60Гц).
RifleR
04.06.2025 19:42Разные производители, разные процессоры, разный объем батарей - странное сравнение.
RifleR
04.06.2025 19:42В том-то и дело, что фактов постоянной прослушки нет. Есть только здравый смысл, который говорит, что если бы:
микрофоны постоянно писали звук и речь анализировалась на устройстве, это бы создавало большую нагрузку на процессор, что в свою очередь отображалось бы на жизни аккумулятора.
микрофоны постоянно писали звук и отправляли его для анализа на сервер, это бы создавало большую нагрузку на сеть, а большое количество траффика легко отследить.
Ничего из этого нет - ни постоянной нагрузки на процессор, ни постоянного потока траффика на сервер.
Вычленение отдельных фраз типа "Ок гугл" или "привет сири" действительно происходит локально, но ввиду очень небольшой вариативности этих фраз, большую нагрузку на процессор это не создает.
dom1n1k
04.06.2025 19:42Я недавно обнаружил, что приложение GBoard по умолчанию льет в интернет порядка 50-100 мб в сутки. Кто это замечает, за исключением тех, кто целенаправленно полез в стату?
Uporoty Автор
04.06.2025 19:42Я недавно обнаружил, что приложение GBoard по умолчанию льет в интернет порядка 50-100 мб в сутки
Такие объемы может элементарно лить самая обычная обезличенная телеметрия, особенно если она криво реализована.
Aggle
04.06.2025 19:42Я когда-то тоже искренне верил, что на основе наших разговоров под нас же формируют контекстную рекламу, ибо была пара казалось бы невероятных совпадений.
Но! Потом как-то раз схватил за один день три таких уже совсем невероятнейших совпадения, причём таких, которые никак не привязать к прослушке смартфонами, микрофонам в розетках и кознямрептилоидовмаркетологов, что стал сильно сомневаться (впрочем, это не значит, что прослушки не существует).
Подумалось, что если бы нас слушали (особенно близко к дедлайнам), то интернет заваливал бы многих из нас рекламой всяких разномастных дилдо и услуг дам с пониженной социальной ответственностью. )HardWrMan
04.06.2025 19:42Подумалось, что если бы нас слушали (особенно близко к дедлайнам), то интернет заваливал бы многих из нас рекламой всяких разномастных дилдо и услуг дам с пониженной социальной ответственностью. )
Этот топик фильтруется как топик "по умолчанию". Увы.
MountainGoat
04.06.2025 19:42Я правильно понимаю, что любая страница, которую открываешь в браузере, сидя в домашней сети - может подключиться к любому другому устройству в этой сети если на нём нет пароля: видеокамерам, файлопомойке и по списку?
olku
04.06.2025 19:42На JS можно аналог nmap написать на сканирование всех адресов и положить его в воркер чтобы в фоне работал. Чужие скрипты на сайте зло.
Uporoty Автор
04.06.2025 19:42Я помню лет так 15 назад упоминания случаев, когда вредоносные сайты пытались стукнуться на адреса типа 192.168.0.1 и стандартными паролями типа admin/admin для популярных моделей роутеров, и потом открывали telnet доступ наружу или еще что-то нехорошее делали.
VladimirFarshatov
04.06.2025 19:4220015 год кажись.. Прокладка домашней сетки от Ростелеком, ибо в частный сектор Нск больше никто заходить не захотел. Роутер "только наш", ну ок. Захожу и .. первым делом меняю admin/admin на своё .. на следующий день связи нет. Перезвон с поддержкой: верните дефолтный пароль или нам придется поменять роутер.. Защита, говорите? ну-ну.. ) Давно, надеюсь чито-то изменилось с тех пор..
Rostelecom_Support
04.06.2025 19:42Нам очень жаль, что у вас сложилось негативное мнение о работе компании, мы внимательно относимся к обратной связи. С каждым днём мы совершенствуемся, улучшая пользовательский опыт.
Wesha
04.06.2025 19:42С каждым днём мы совершенствуемся, улучшая пользовательский опыт.
Ну и как процесс совершенствования? Более сложный пароль придумывать уже научились? Ну хотя бы
Admin123!?
NutsUnderline
04.06.2025 19:42жесть какая то. ладно когда отказываются работать с нестандартыми роутерами потому что это надо разбираться где нажимать, и то к у меня есть для этой цели простой роутер "для мастера" чтобы по быстрому потестировать связь, а микротик можно потом настроить. но и даже это уже не "только наш" - навастривают мой роутер.
с другой стороны когда он ИХ тогда и проблемы должны быть только ИХ ;)
надеюсь чито-то изменилось с тех пор
появился протокол TR69 по сути официальный бэкдор
NutsUnderline
04.06.2025 19:42более того, если этот браузер chrom , edge и некоторые другие то условному сайту доступны usb, bluetooth (плюс еще midi как отдельная сущность). можно даже сменить прошивку если устройство такое поддерживает
Uporoty Автор
04.06.2025 19:42Для этого надо явно дать в браузере разрешение на использование WebUSB и подобных API, втихую не получится.
NutsUnderline
04.06.2025 19:42А можно на js написать как нить скрипт который кнопку подтверждения сам нажимает?
в целом же, я например наблюдаю пользователей которые бездумно кликают кнопку "подписаться на уведомления" на сайте в результате смартфон гремит уведомлениями не переставая, 150 уведомлений удалил в браузере. т.е. разрешение это дадут бездумно даже не представляя что через браузер можно понатворить всякого, он дает такую возможность.
mayorovp
04.06.2025 19:42А можно на js написать как нить скрипт который кнопку подтверждения сам нажимает?
Будь это возможно, в разрешениях не было бы смысла.
Uporoty Автор
04.06.2025 19:42А можно на js написать как нить скрипт который кнопку подтверждения сам нажимает?
Из клиентского JS со страницы нельзя нажимать кнопки нативного интерфейса браузера за пределами этой страницы. Более того, они обычно даже в отдельном процессе обрабатываются, насколько я помню.
apevzner
04.06.2025 19:42Я что-то не понимаю. Если нативному яндексмому или фейсбуковскому приложению хочется пообщаться с ихними же скриптами на веб-страничках, это удобно, конечно, делать через http://localhost:NNNN/, но вроде принципиально ничего не добавляет. С таким же успехом они могли бы общаться через свои сервера...
Evengard
04.06.2025 19:42Тут суть в том что они "узнают" что скрипт на веб страничке и приложение с одного устройства. Без этого они "считают" что это разные устройства.
Uporoty Автор
04.06.2025 19:42Более того, из-за того что _fbp - это first party cookie, заходя на каждый сайт один и тот же пользователь выглядит как разные устройства (если он не залогинен на фейсбуке). А таких хаком с localhost'ом они изящно обходят это ограничение.
First-party cookie означает, что она не может использоваться для отслеживания пользователей на разных веб-сайтах, поскольку она устанавливается в рамках домена веб-сайта. Это означает, что один и тот же пользователь имеет разные файлы cookie _fbp на разных веб-сайтах. Однако метод, который мы раскрываем, позволяет связывать разные cookie fbp с одним и тем же пользователем, что обходит существующие меры защиты и противоречит интересам пользователей.
MountainGoat
04.06.2025 19:42Приложение знает уникальную учётку пользователя, и отдаст её сайту даже если в браузере учётки пользователя нет и вообще браузер в инкогнито.
fermentum
04.06.2025 19:42Не все браузеры одинаково себя ведут. Если я правильно понял, то тот же Brave не позволяет себе таких вольностей.
Tim7456
04.06.2025 19:42Благодаря этому трюку "яндексмому или фейсбуковскому приложения" знают когда вы заходите на другие сайты помимо яндекса и фейсбука. И знают о ваших посещениях не абстрактно, а в привязке к вашему аккаунту (включая вашу геолокацию, историю покупок, кредитные карты, историю звонков, телефонную книгу и т.д.).
funca
04.06.2025 19:42Это как посмотреть. Браузер сам является приложением, которое способно считывать с устройства идентификаторы и массу других данных. Естественно, практически все они шлют обогащенную телелеметрию своим работчикам. Т.е условный Chrome отправляет данные о вас в Google, Firefox стучит Mozilla и т.п. Но они не сообщают их в условный Яндекс - в этом как бы проблема. Трюк, описанный в статье, позволяет подтягивать данные, если пользователи выбрали чужой браузер.
ImagineTables
04.06.2025 19:42Спасает ли от этой беды uBlockOrigin для Firefox for Android? Он же должен резать соответствующие скрипты.
Чем заменить погодный виджет от Яндекса? Приложение от другой шпионской конторы не предлагать ))
Есть ли аддон для ФФ или приложение, которым можно заблокировать доступ к localhost? Желательно без рута. Ну и вообще, что делать-то?
fhunter
04.06.2025 19:42Спасает ли от этой беды uBlockOrigin для Firefox for Android? Он же должен резать соответствующие скрипты.
Да, если есть правильные правила в нём.
Tippy-Tip
04.06.2025 19:42Чем заменить погодный виджет от Яндекса?
Для себя выбрал приложение (не виджет) "Погода Гидрометцентр России".
Есть ли аддон для ФФ или приложение, которым можно заблокировать доступ к localhost? Желательно без рута. Ну и вообще, что делать-то?
Выше писал про атаку "NAT slipstreaming". В десктопном Firefox пофиксили где-то в районе 91 версии, НЯП, в андроидном эта уязвимость впроде тоже исправлена.
ImagineTables
04.06.2025 19:42Для себя выбрал приложение (не виджет) "Погода Гидрометцентр России".
Спасибо.
У него есть виджет, неплохой. Но с точностью какие-то странные проблемы. Уже два часа оно показывает «Ливневый дождь». За окном солнышко, птички поют.
doctorw
04.06.2025 19:42Теоретически, можно попробовать установить/настроить фаервол с запретом для всех приложений на доступ к localhost, я полагаю.
HardWrMan
04.06.2025 19:42Мой кент сильно параноик. Не осуждаю, но постоянно слушаю его истории. Так вот, он пользуется фаерволлом. Не помню уже каким и на какой мобиле, могу уточнить, если это интересно. Так вот. Зарубил по максимуму, но всё необходимое работает как надо. Через сутки фаервол был закрыт системой принудительно и фильтрации трафика снова нет. Он опять включил - сутки и всё. Я посоветовал копнуть логи и вот что выяснилось. Если фаерволл не активен, то ничего в логах нет. А если активен, то перед закрытием фаерволла присутствует запись об перезагрузке радиомодуля (и gsm и wifi). Сделали предположение, что кто-то настойчиво хочет интернет, а его нет. И он начинает дёргать оборудование, считая что оно зависло. Устройство кратковременно пропадает и фаерволл падает в сегфолт. Ну или оно догадывается, что виной фаерволл и намеренно рубит его. Догадываешься, Петров? (С)
Ranlod
04.06.2025 19:42полагаю должен спасать, судя из описания статьи сначала сайт тебе должен загрузиться JS скрипт с трекером от Meta Pixel/Yandex Metrica. uBlockOrigin должен блочить такие скрипты своим листом против трекеров.
Если я правильно понял механизм в статье
lsillarionov
04.06.2025 19:42Меня забавляет, что Яндекс использует собщение через локалхост (стандартный механизм IPC для Unix систем) уже больше 7 лет, а обратили внемение на это только сейчас.
Не удивлюсь, если у них даже были публичные доклады на эту тему в русскоязычном сегменте
alextrof94
04.06.2025 19:42А что забавного? Кто-то случайно наткнулся, залезли в архив, посмотрели с какого момента. С бэкдорами процессоров та же петрушка была не так давно - нашли бэкдор, который, как оказалось, уже десятки лет существовал. Плюсом идёт и то, что в девтулс на мобиле не зайдешь по одной ф12 -> меньше исследователей.
Удачно мне статья попалась. Пару часов назад сам один инструмент для стримеров писать закончил, где данные браузер-бэк-софт-браузер через веб-сокеты передаются.
Uporoty Автор
04.06.2025 19:42Не удивлюсь, если у них даже были публичные доклады на эту тему в русскоязычном сегменте
Найдете хоть один? Я не нашел. Сдается мне, они намеренно этот факт всячески скрывают и не упоминают.
а обратили внемение на это только сейчас.
Страница (причем видимо только при открытии на мобильном устройстве) стучится на какой-то легитимно выглядящий домен яндекса, в devtools видно что запрос не прошел... Ну, мало ли, может какой-то баг или временная проблема. То, что домен указывает на 127.0.0.1, вполне можно и не заметить - в devtools отрезолвенные IP-адреса доменов, насколько я помню, нигде не пишутся.
alex1478
04.06.2025 19:42Почему вообще мобильные браузеры позволяют подключаться к не стандартным портам (выше 1000)? Когда на дескторе без правок about:config доступен только с десяток стандартных портов, даже на локалхосте
mayorovp
04.06.2025 19:42Это где на десктопе такие странные ограничения? Испокон веков же всяческие веб-приложения на нестандартных портах работают, и их как-то отлаживают без правок в конфигах.
avost
04.06.2025 19:42Когда на дескторе без правок about:config доступен только с десяток стандартных портов, даже на локалхосте
Нет таких ограничений. Любой разработчик во множестве поднимает локальные сервера на 8080 и окрестностях (можно и на любых других, так просто лекче запоминать) и всё работает из коробки.
alex1478
04.06.2025 19:42У меня Firefox не давал подключить, нужно было about:config поменять
nidalee
04.06.2025 19:42Первый раз слышу, Firefox пользуюсь с 2010 наверное. Ни на mac, ни на linux, ни на win никогда не приходилось ничего для этого разрешать.
alex1478
04.06.2025 19:42https://support.mozilla.org/ru/questions/1083282
Каждый раз при чистой установке сталкиваюсьnidalee
04.06.2025 19:42Мне кажется, что вам очень сильно повезло каждый раз попадать на какой-то эксперимент. Если только вы не зашли в аккаунт и он это из облака не подтягивает.
avost
04.06.2025 19:42Удивился, скачал свеженький Firefox (139.0.1) на чистенькую от него систему (макось), запустил пачку тестовых серверов на "яндексовых" портах - нормально по всем ходит.
bolk
04.06.2025 19:42Получается «Яндекс» и «Фейсбук», по сути, взламывали конечные устройства пользователей, обходя защиту, чтобы подглядывать за пользователем даже когда пользователи явно и недвусмысленно использователи режим, который недвусмысленно означает, что пользователь хочет закрыть информацию о посещении?
Разве это не УК 272?Xexa
04.06.2025 19:42Никто ничего не взламывал. Использовалось то, что даёт API устройства.
Плохо что не озвучили? Плохо, но дофига чего в жизни не озвучивают. В целом глупо полагаться на анонимность в жизни. Её нет. Смирись
bolk
04.06.2025 19:42Когда хакер подбирает пароль, он тоже всего лишь «пользуется АПИ устройства».
Сидишь в сельском туалете, делаешь свои дела, в дырку подсматривают сотрудники «Яндекса», а когда ты возмущаешься, всё село говорит о том, что это АПИ у туалета такое и предлагают тебе смириться.
vikarti
04.06.2025 19:42Интересно а если во все дырки пустить яд а там сотрудники были это что нарушает?
А если не яд а просто звук.Тюлилихум ааухум... ?
geher
04.06.2025 19:42даже когда пользователи явно и недвусмысленно использователи режим, который недвусмысленно означает, что пользователь хочет закрыть информацию о посещении?
Между тем мобильный огнелис при включении этого режима отображает ссылку на мифы о этом режиме, по которой написано, что приватный режим таки на самом деле не является по сути приватным, ибо не обеспечивает должного уровня приватности, а всего лишь что-то там не сохраняет на устройстве, не позволяя другим пользователям потом увидеть, что вы делали. А пока вы что-то делаете, все ваши действия могут быть видны кому попало.
А так вывешивание чужих метрик и прочих подобных плюшек - канал угечки, но разработчикам сайтов начхать на вашу приватность, и они пихают на свои страницы этих шпионов, ибо им так удобно.
bolk
04.06.2025 19:42Я понимаю что даёт и чего не даёт приватный режим. Вот только «Яндекс» с «Фейсом» обходят то, что приватный режим даёт.
geher
04.06.2025 19:42Приватный режим - это банковский суперсейф с дверцей для уборщицы и ключом от нее под ковриком. Если на эту дверцу навесят дополнительный замок с ключом у охраны, я буду не против. Но пока что есть, то есть. Яндекс с ФБ использоваливполне легальный канал связи, работавший и в приватном режиме, в злобных целях.
А вообще давно пора реализовать в браузерах нормальный приватный режим, обеспечивающий полную изоляцию сайта от системы в одноразовой песочнице и явным запросом разрешения со стороны пользователя на нарушение этой изоляции (например, на сохранение файла).
santjagocorkez
04.06.2025 19:42Windows Sandbox — именно то, что ты описал. Внутри хоть инкогнито, хоть обычную сессию стартуй (какая разница, всё равно одноразовая)
AlexMih
04.06.2025 19:42который недвусмысленно означает, что пользователь хочет закрыть информацию о посещении?
А зачем вы
светили свечой в окошкохотели закрыть информацию о посещении?...Скрытый текст
bolk
04.06.2025 19:42Так это моё дело — зачем я хотел.
HardWrMan
04.06.2025 19:42Когда дело касается госбезопасности то это не только ваше дело, зачем вы хотели. Так они вам будут объяснять, я думаю.
bolk
04.06.2025 19:42Причём тут вообще госбезопасность? Давайте ещё будем запрещать мужчинам трусы носить, чтобы оружие потенциального правонарушения не прятали.
HardWrMan
04.06.2025 19:42Ну вероятность этого не нулевая же. Вот есть два человека: один реальный диссидент а второй просто осторожный. Оба ходят в интернете максимально скрытно и без следов. Как узнать товаришу майору человеку, кто из них опасен? Вопрос риторический.
Xexa
04.06.2025 19:42Это твоё право несомненно хотеть. Но у тебя нет права требовать от кого-то поведения которое ты хочешь, если их поведение не нарушает закон(*см ниже) и у вас нет договорённости. Ты можешь по своему требованию соглашаться или не соглашаться на их поведение.
Но ты соглашаешься и почему-то требуешь.. это твоя проблема коммуникации с миром.
У разработчиков есть задача от начальства/бизнеса - они решают задачу всеми доступными способами. Коль API системы позволяет взаимодействовать процессам через сокеты без прав/авторизации - они и взяли этот механизм. Ты сам в жизни используешь принцип "не запрещено - разрешено".
Соответственно априори известно что бесплатного ничего не бывает. Т.е разработчики получают прибыль какую-то с тебя(по сути по твоему согласию, когда ты ставишь их ПО).
Не хочешь быть товаром - сноси ПО которое не можешь контролировать или с разработчиками которого нет отдельного контракта у тебя. Сноси ПО и используй иные способы взаимодействия с миром.
По сайтам лазить хочешь? Подключайся телнетом(аль что найдёшь иное) к серверу, отправляй команды и читай результаты. Выбор вариантов у тебя не забирают, т.ч тут нет тоталитаризма и какого-то иного ограничения. В конце концов может не пользоваться сервисами и вообще смартфоном - кнопочный телефон наше всё.
*- связать ID аппарата с контентом - не нарушение закона. Более того формально(если подумать не эгоистично "я хочу") это обеспечение безопасности окружающих путём обнаружения/пресечения/выявления противоправных действий и наверняка какому-то закону соответствует. И это не только в РФ как бы ты или иные не хотели, но делают все.
bolk
04.06.2025 19:42Я уже писал, что грань тут тонкая. API системы может иметь открытые порты, но их сканирование может быть правонарушением, API системы может иметь возможность указать логин и пароль, но их перебор — правонарушение.
Так же и тут.
Не думаю, что вы можете однозначно сказать — было нарушение закона или нет.
digrobot
04.06.2025 19:42Существует негласное соглашение, по которому функционал приложения должен соответствовать его заявленному назначению. Соблюдение этого соглашения отличает нормальное ПО от вредоносного.
Если я ставлю приложение для просмотра картинок, а оно удаляет мои данные и форматирует диск, потому что "API позволяет" - никто же не станет сомневаться, что это же вредонос?
Точно так же, когда я ставлю приложение для вызова такси, я ожидаю от него, что оно будет вызывать такси, а не "стучать" о посещенных мною сайтах. И некорректно говорить, что оно бесплатное, так как я плачу за такси деньгами, из которых агрегатор забирает свою долю.NutsUnderline
04.06.2025 19:42Существует негласное соглашение, по которому функционал приложения должен соответствовать его заявленному назначению.
сразу представил толпу сказавших "Ага..."
qeeveex
04.06.2025 19:42В firefox на android в uBlock есть возможность подписаться на
Block Outsider Intrusion into LAN
funny_falcon
04.06.2025 19:42Мне интересно не то, что Яндекс за мною следил, а то, насколько сложно или легко было взломать приложения Яндекса через это отверстие?
Ainyru
04.06.2025 19:42Какой я молодец, что два года назад перешел на Brave. Интересно сколько еще раз сам себе это скажу.
VladimirFarshatov
04.06.2025 19:42Перешли на запасной режим? )
Ainyru
04.06.2025 19:42Первоначальной причиной была enshitification гугл хрома, портили UI, планировали запретить adblock (и таки запретили). Но бонусов от перехода оказалось даже больше, дополнительная приватность и безопасность, которую дает Brave, становится с каждым годом все важнее и важнее.
dl177
04.06.2025 19:42Я еще добавлю Молодец! Там в приватном окне есть Tor. Жаль только, что Leo "напрямую" не соединяется, это в Firefox'е любой ИИ на выбор.
Vladekk
04.06.2025 19:42К сожалению, brave тоже не супер. https://www.spacebar.news/stop-using-brave-browser/
funca
04.06.2025 19:42К сожалению, brave тоже не супер.
Потому, что его основатель (и по совместительству тот самый автор языка джаваскрипт) выступал против однополых браков, а демократию не считает равноценной свободе. Занятная статья, в 2023 это звучало как серьезные обвинения.
Vladekk
04.06.2025 19:42Я считаю, что это достаточно важный вопрос, чтоб не поддерживать такого чувака. У меня есть друзья ЛГБТ, и я хочу, чтоб они могли женится, как и любые другие люди.
Но там и другие пункты есть, не связанные с политикой.
Самый неприятный - вставка в урлы своих трекинг айди, чтоб трекать юзеров. Рекламировать свой браузер как приватный, и при этом добавлять трекинг - это самый лучший способ показать, что на деле тебе насрать на приватность, и интересуют тебя только деньги. Особенно учитывая, с какими скамерами они постоянно имели дело (ftx, crypto.com и так далее)
CuriousJustifier
04.06.2025 19:42Ведь несколько приложений не могут сесть на один и тот же порт, верно? Нельзя ли сделать фейковое приложение, которое будет садиться на эти порты и таким образом блочить слежку Меты/Яндекса?
sena
04.06.2025 19:42А можно сделать приложение-Антияндекс и Антифб, которое будет сидеть на том же порту и слать им всякую хрень?
Как получилось что ФБ и Я используют одну и ту же технологию? Совпадение?
Uporoty Автор
04.06.2025 19:42А можно сделать приложение-Антияндекс и Антифб, которое будет сидеть на том же порту и слать им всякую хрень?
Можно
Как получилось что ФБ и Я используют одну и ту же технологию? Совпадение?
Кто-то у кого-то подсмотрел, вероятно, а может и совпадение.
avost
04.06.2025 19:42А можно сделать приложение-Антияндекс и Антифб, которое будет сидеть на том же порту и слать им всякую хрень?
в фб-шном варианте он садится на первый свободный порт из диапазона. Надо занимать весь диапазон. По большому счёту это не страшно, но можно ещё кому-нибудь помешать. Хотя, нафига этому "кому-то ещё" слушать локалхост, как не с такими же целями? ))
Слать хрень можно, но достаточно просто сбрасывать соединение или не отвечать вовсе. У Яндекса там зашифровано, причём они соль/ключи/токен/фиг_знает_что каждый раз новые передают. Вообще, интересно было бы если б кто-нибудь реверснул эту хрень. А у ФБ вообще, наоборот В приложуху передаётся инфа, а не забирается, там и хрень слать бессмысленно. Можно наоборот заспамливать приложуху фейковыми данными, если протокол хакнуть.
Как получилось что ФБ и Я используют одну и ту же технологию?
Технологии довольно таки разные, общее только сервер на локалхосте. Но это довольно стандартное решение для многих задач.
pink0D
04.06.2025 19:42Непонятно, почему этот метод использовали только на Android, хотя технически это возможно и на iOS ? Статья дает еще один повод для лозунгов "Apple
меньшедругими способами следит за пользователями"
Marsezi
04.06.2025 19:42Тотальный бэкдор , как в здравом уме можно установить на комп Яндекс , они же корневые РФ сертификаты ставит принудительно при установки.
Раньше они следили только через плагин Яндекс статистику где могли дотянутся , а теперь просто выпустили браузер где в ядро вшит сбор не выборочно , а вообще все.
AVX
04.06.2025 19:42А что насчёт Samsung Browser? Он тоже так делает? В нём вроде встроенная некая защита от отслеживания.
almirus
04.06.2025 19:42Страшно представить за чем следят и что сливают десктопные приложения от Яндекс, например яндекс музыка?!
kasiopei
04.06.2025 19:42Больше всего бесит что это все зря. Я не применяю никаких мер анонимизации и Яндекс о мне знает все, но упорно продолжает мне рекламировать всякие прозрачные женские наряды.
MTyrz
04.06.2025 19:42Вероятно, Яндекс подозревает вас в фетишизме? Подумайте, вдруг это вы чего-то про себя не знаете? /s
Uporoty Автор
04.06.2025 19:42Яндекс о мне знает все, но упорно продолжает мне рекламировать всякие прозрачные женские наряды
может жена/подруга ими интересуется?
khokhlov
04.06.2025 19:42Обращение в электронную приемную РКН по вопросу обработки Яндексом персональных данных без получения должного согласия можно отправить здесь: https://rkn.gov.ru/treatments/ask-question/?theme_part1=3&theme_part3=3001
VladimirFarshatov
Спасибо за статью. Никогда не сомневался, что весь интернет - это "открытая страна" и создан исключительно для надзора, ещё и "за счет клиента". "В рекламных целях ид андроида"? ну-ну.. )