Bezpečnostní odborníci zjistili, že sledovací kódy, které Meta a ruský Yandex vkládají do milionů webových stránek, dovolují deanonymizovat návštěvníky zneužitím legitimních internetových protokolů. Výsledkem je, že z prohlížečů v Androidu sbírají jedinečné identifikátory a ty pak předávají aplikacím nainstalovaným v zařízení.
Společnost Google uvádí, že už vyšetřuje celou metodu umožňující převádět dočasné webové identifikátory na trvalé identity uživatelů mobilních aplikací. Skryté sledování totiž dovoluje společnostem Meta a Yandex obejít základní zabezpečení a ochranu soukromí poskytované operačním systémem Android i webovými prohlížeči. Systém se totiž snaží aplikace oddělit pomocí sandboxů a nedovolí jim předávat data běžnou meziprocesovou komunikací ani pomocí sdíleného úložiště.
Nově objevený útok ale umožňuje prolomit sandbox, který obvykle existuje mezi mobilním a webovým kontextem. Existující kanál tak umožní aplikaci zjistit, co se děje v mobilním prohlížeči. Yandex takto začal získávat informace už v roce 2017, Meta s tím začala loni v září.
Popsaná metoda umožňuje společnostem předávat identifikátory z prohlížečů Firefox a Chromium do nativních aplikací pro Facebook, Instagram a různých aplikací firmy Yandex. Společnosti pak mohou tuto rozsáhlou historii prohlížení spojit s majitelem účtu přihlášeným do aplikace.
Princip je přitom poměrně prostý a využívá toho, že moderní prohlížeče mohou odesílat webové požadavky na různé cíle, včetně svých vlastních TCP portů. Na těchto portech ale v tichosti poslouchají právě aplikace zmíněných poskytovatelů a dostávají od sledovacích kódů informace o tom, co daný uživatel právě dělá na webu.
