Представник Google повідомив, що така поведінка порушує умови користування їхнім сервісом Play і відповідні очікування щодо конфіденційності користувачів Android.
“Розробники, про яких йдеться в цьому звіті, використовують можливості багатьох браузерів на iOS та Android у неочікуваних способах, які явно суперечать нашим принципам безпеки та конфіденційності,” – заявив представник, маючи на увазі творців JavaScript Meta Pixel і Yandex Metrica. “Ми вже впровадили заходи для зменшення впливу цих інвазивних технік і почали власне розслідування, перебуваючи з цими сторонами на прямому зв’язку.”
Meta не відповіла на електронні запитання, але надала наступну заяву: “Ми ведемо переговори з Google щодо можливої невизначеності в застосуванні їхніх політик. Досліджуючи ці питання, ми вирішили призупинити функцію, поки працюємо з Google над їхнім вирішенням.”
У листі Yandex повідомив, що він припиняє цю практику та також підтримує зв’язок з Google.
“Yandex суворо дотримується стандартів захисту даних і не розкриває анонімність даних користувачів,” – йдеться в заяві. “Функція, про яку йдеться, не збирає ніякої чутливої інформації і має на меті лише покращення персоналізації в наших додатках.”
Як Meta та Yandex розкривають анонімність користувачів Android
Розробники Meta Pixel зловживали різними протоколами, щоб впровадити таємне слухання з моменту початку цієї практики в минулому вересні. Вони почали з того, що змусили додатки надсилати HTTP запити на порт 12387. Через місяць Meta Pixel припинив надсилати ці дані, хоча додатки Facebook та Instagram продовжували контролювати порт.
У листопаді Meta Pixel перейшов на новий метод, що використовує WebSocket, протокол для двосторонньої комунікації, на порту 12387.
Того ж місяця Meta Pixel також застосував новий метод, який використовував WebRTC, протокол для реального часу, що зазвичай використовується для аудіо- та відеозв’язку в браузері. Цей метод передбачав складний процес, відомий як SDP munging, техніка, за якою JavaScript-код змінює дані протоколу опису сесії перед їх відправкою. Це все ще використовується сьогодні: SDP munging Meta Pixel вставляє вміст ключа _fbp cookie в поля, призначені для інформації про з’єднання. Це спричиняє надходження цих даних як частини STUN запиту до локального хоста Android, де їх можуть читати додатки Facebook або Instagram і пов’язати із користувачем.