Covert Web-to-App Tracking via Localhost on Android
a year ago
- #android
- #privacy
- #tracking
- Meta和Yandex通过在Android本地主机套接字关联网页浏览数据与应用标识符来追踪用户
- 该追踪手段可绕过隐身模式、清除Cookie及安卓权限控制等隐私保护措施
- Meta的Pixel脚本通过WebRTC向Facebook/Instagram等原生应用发送_fbp cookie,将网页访问关联至用户账户
- Yandex Metrica通过HTTP/HTTPS请求访问本地主机端口,共享安卓广告标识符(AAID)等设备ID
- 两种方法均未经用户同意即可运作,可能导致浏览历史被恶意应用窃取
- Meta Pixel已嵌入超580万个网站,Yandex Metrica覆盖近300万站点
- Chrome/Firefox/Edge等浏览器厂商正在部署缓解方案,但需平台级根本修复
- Meta和Yandex均未公开相关追踪技术文档,引发透明度质疑
- 即使用户未登录、使用隐身模式或清除Cookie,追踪仍可持续生效
- iOS用户暂未受影响,但其他平台理论上存在类似追踪可能