Tajní špehové v mobilu: Meta a Yandex obešly i režim inkognito
Rozsáhlé odhalení špionáže poukázalo na skryté praktiky dvou internetových gigantů. Jejich trik spočíval v tom, že propojoval kód webových stránek s lokálně instalovanými aplikacemi v androidových zařízeních, nejčastěji smartphonech.
Skripty, jejich typickými zástupci jsou Meta Pixel a Yandex Metrica, využívají interní síťová rozhraní k nepozorovanému předávání identifikátorů z webového prohlížeče do aplikací. Facebook, Instagram nebo Yandex Maps poté sloučí přijatá data s uživatelskými účty nebo identifikátory zařízení. Nakonec je odešlou na servery poskytovatelů.
Zvlášť zákeřné na celé věci bylo to, že popsaná technika fungovala i v režimu inkognito, čili s odstraněnými cookies nebo deaktivovanými reklamami. Namísto běžných sledovacích souborů cookies bylo použito přesměrování přes interní IP adresu. Přitom šlo o oblast, která jinak slouží k ochraně dat.
Mohlo by vás zajímat
Špehování androidových smartphonů: Google a poskytovatelé prohlížečů reagovali okamžitě
Ve zprávě bezpečnostních expertů se uvádí, že v rámci výzkumu se podařilo objevit přes 5 milionů webových stránek se skripty Meta a téměř 3 miliony s kódem Yandex. V tisících případů sledování probíhalo bez souhlasu uživatele, tedy zcela jasně v rozporu s normami pro ochranu osobních údajů.
Google reagoval okamžitě. Odhalené praktiky jsou podle stanoviska společnosti porušením pravidel aplikační platformy Obchod Play a zásad ochrany údajů v systému Android.
Současně své aktivity zastavily i Meta s Yandexem. Vysvětlily, že šlo údajně o nedorozumění. Žádné citlivé informace údajně nebyly shromažďovány.
Mohlo by vás zajímat
Poskytovatelé prohlížečů také nezůstali stranou: pro Chrome, Firefox, Brave a DuckDuckGo reagovali poskytnutím aktualizací a seznamu blokací. Chrome plánuje do budoucna blokovat zneužité porty, Brave ve výchozím nastavení zakáže přenosy lokálních dat. Blokátory reklam, jako například uBlock Origin nebo AdGuard, budou spolehlivě filtrovat dotčené domény. Experti také doporučují podezřelé aplikace odstranit.
Mohlo by vás zajímat
Informace o skriptech a bezpečnostních zranitelnostech
Navzdory snahám Google a dalším poskytovatelům internetových prohlížečů toto nebezpečí přetrvá, dokud Android výslovně nezabrání místním připojením.
Uživatelé by také neměli zapomínat na pravidelné instalace bezpečnostních aktualizací a pečlivě kontrolovat instalované aplikace. Jsme si vědomi toho, že to na nás bude klást zvýšené nároky, ale jen tak se podaří ochránit si soukromí.
V té souvislosti se také hodí zmínit, že od 27. května společnost Meta používá ke trénování umělé inteligence veřejný obsah Facebooku a Instagramu od dospělých uživatelů. Pokud jste do 26. května vysloveně nevyjádřili svůj nesouhlas, lze proti tomu podat námitku a z testování vyřadit alespoň nový obsah.
Zdroj: Local Mess, The Register, Tech Radar
