Carder.life

Carder.life (http://txgate.io:443/index.php)
-   Новости мирового кардинга (http://txgate.io:443/forumdisplay.php?f=18)
-   -   5,8 млн сайтов сдали вас Meta, 3 млн — Яндексу. Прямо в приложение (http://txgate.io:443/showthread.php?t=51301015)

Artifact 06-06-2025 11:10 AM
<div id="post_message_795779">

Meta* и Yandex <a href="https://localmess.github.io" target="_blank">использовали </a>скрытую технологию отслеживания, связывающую действия пользователей в браузере с их аккаунтами в Android-приложениях. Исследователи утверждают, что нативные приложения Facebook*, Instagram* и несколько приложений Яндекса (включая Карты и Браузер) прослушивали фиксированные порты localhost на устройствах Android для получения данных из веб-скриптов, встроенных на миллионы сайтов.<br/>
<br/>
Эти JavaScript-скрипты — Meta* Pixel и Яндекс.Метрика — запускаются в мобильном браузере и устанавливают соединение с приложениями через сокеты localhost. Через них передаются метаданные, cookie и команды, включая идентификаторы устройств, такие как <a href="https://support.google.com/googleplay/android-developer/answer/6048248" target="_blank">Android Advertising ID (AAID)</a> . Это позволяет деанонимизировать пользователей, связывая их поведение в браузере с учётными записями.<br/>
<br/>
Такая методика обходит стандартные механизмы конфиденциальности — от удаления cookie до инкогнито-режима и настроек разрешений Android. Более того, эти данные могут быть перехвачены сторонними приложениями, если те также прослушивают те же порты.<br/>
<br/>
Meta Pixel передавал <a href="https://web.archive.org/web/20250602140111/https://developers.facebook.com/docs/marketing-api/conversions-api/parameters/fbp-and-fbc/" target="_blank">cookie _fbp</a> из браузера в приложения Meta через WebRTC с SDP Munging, используя порты 12580–12585. Полученные данные приложения Facebook* и Instagram* направляли на сервер через <a href="https://graph.facebook.com/graphql" target="_blank">GraphQL-запрос</a> . Позже Meta изменила механизм на WebRTC TURN. Обновление от 3 июня подтвердило, что Meta прекратила отправку данных на localhost, а соответствующий код почти полностью удалён. Аналогичное прекращение подтверждено и со стороны Яндекса.<br/>
<br/>
Cookie _fbp применяется для идентификации браузеров и встроен примерно на <a href="https://almanac.httparchive.org/en/2024/cookies#top-first-and-third-party-cookies-and-domains-setting-them" target="_blank">25% из миллиона популярных сайтов</a> . Несмотря на его статус как first-party cookie, через localhost-коммуникацию Meta получала возможность объединять сессии с разных сайтов.<br/>
<br/>
Яндекс использовал другую схему: его приложения слушали порты 29009, 29010, 30102 и 30103. Скрипт Метрики направлял зашифрованные данные на эти порты, используя адреса 127.0.0.1 и домен yandexmetrica[.]com. Полученные через <a href="https://support.google.com/googleplay/android-developer/answer/6048248" target="_blank">Java API идентификаторы</a> возвращались браузеру и затем передавались на сервер Метрики (mc[.]yango[.]com). Такая схема действует минимум с <a href="https://storage.googleapis.com/httparchive/crawls/android-Feb_1_2017/170201_35_FFJC.har.gz" target="_blank">2017 года</a> и усложняет обнаружение из-за обхода традиционных механизмов контроля.<br/>
<br/>
Обе схемы оказались уязвимыми к утечке истории просмотров: стороннее приложение может прослушивать порты и извлекать заголовки Origin, тем самым определяя посещённые сайты. Доказательство концепции, представленное исследователями, подтвердило, что <a href="https://github.com/explainers-by-googlers/local-network-access" target="_blank">Chrome, Edge и Firefox уязвимы</a> даже в приватном режиме. Brave и DuckDuckGo оказались защищены за счёт блокировки localhost.<br/>
<br/>
По данным <a href="https://trends.builtwith.com/websitelist/Facebook-Pixel" target="_blank">BuiltWith </a>, Meta* Pixel встроен на 5,8 млн сайтов, Яндекс.Метрика — <a href="https://trends.builtwith.com/analytics/Yandex-Metrika" target="_blank">почти на 3 млн</a> . При сканировании топ-100 000 сайтов Meta Pixel пытался соединиться с localhost на 13 468 сайтах в США и 11 890 в Европе без предварительного согласия. У Яндекса — на 1 095 и 1 064 сайтах соответственно.<br/>
<br/>
Meta начала использовать метод WebRTC STUN в ноябре 2024 года, а с мая 2025 перешла на WebRTC TURN. Яндекс применяет HTTP-коммуникацию с февраля 2017 года и HTTPS — с мая 2018. Данные зафиксированы <a href="https://storage.googleapis.com/httparchive/crawls/android-Feb_1_2017/170201_35_FF5V.har.gz" target="_blank">в HAR-файлах</a> архивов HTTP Archive.<br/>
<br/>
Тесты показали, что браузеры Chrome, Firefox и Edge подвержены уязвимостям. Chrome <a href="https://github.com/explainers-by-googlers/local-network-access" target="_blank">в версии 137</a> добавил защиту от SDP Munging. Firefox готовит патчи к версии 139. Brave и DuckDuckGo используют блок-листы и требуют подтверждения при работе с localhost с 2022 года.<br/>
<br/>
Ни Meta, ни Яндекс не документировали этот механизм. Пользователи и разработчики сообщали о странном сетевом поведении в <a href="https://web.archive.org/web/20250531105711/https://developers.facebook.com/community/threads/937149104821259" target="_blank">форуме разработчиков Meta</a> *, не получив ответов. Исследование предполагает, что отслеживание работало даже без входа в аккаунты, в режиме инкогнито и при очистке cookies, что делает его особенно проблемным с точки зрения конфиденциальности.<br/>
<br/>
<a href="https://www.securitylab.ru/news/560143.php" target="_blank">@ SecurityLab.ru</a>
</div>


All times are GMT. The time now is 07:51 PM.

Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2025, vBulletin Solutions, Inc.