A böngészőkben az inkognitómódnak pont az lenne a lényege, ha nem is nyomnélkül, hanem kevésbé követhetően tudj keresni. Nos, a Cukorhegy bácsi ekkor is figyelt téged.
Kövesd Telegram csatornánkat!
Folyamatosan frissítjük a közel-keleti háború híreivel
és az orosz-ukrán konfliktus rövid híreivel is
Mint kiderült, a Meta sok esetben mégis össze tudta kötni egy gyanútlan felhasználóval a böngészési adatait anélkül, hogy az bármit elfogadott volna erről, hiába volt inkognitó módban.
Arra, hogy a Meta és az orosz Yandex is egy eddig ismeretlen trükkel kerüli ki az adatbiztonsági óvintézkedéseket és előírásokat, kiberbiztonsági szakértők egy csoportja mutatott rá néhány hete egy részletes anyagban. A követési módszer szerintük több milliárd androidos felhasználót is érinthetett, de az eredmények nyilvánosságra kerülése után a cégek hirtelen leállították azt. Előtte viszont a Yandex nyolc évig, a Meta legalább kilenc hónapig használta, tehát elég komoly dologról van szó.
Na de mi is ez a titokzatos módszer, amellyel a Meta és a Yandex képes volt titokban megfigyelni a felhasználókat? Nagyon röviden egy olyan megoldás, amellyel a két cég natív androidos alkalmazásai – előbbi esetben mondjuk a Facebook vagy az Instagram, utóbbiban például a saját márkás böngésző vagy navigátor app – csendben figyelték a háttérből a felhasználók aktivitását a saját, rengeteg weboldalba beépített szkriptjükkel.
Hogy nézett ki gyakorlatban ez a folyamat? Érdemes a végén kezdeni, a Meta és a Yandex szkriptjeivel, amelyeknek alapvetően nem az a feladatuk, hogy a beleegyezésük nélkül profilozzák a felhasználókat. A Meta Pixel nevű szkript simán csak a látogatói aktivitást méri, és ha valaki beépíti az oldalába, szélesebb képet kaphat például arról, hogy mennyire hatékonyan tereli az embereket egy bizonyos aloldalra.
A Meta Pixel egy adatbázis alapján több mint hatmillió weboldalba van beépítve, a Yandex hasonló megoldása, a Metrica pedig közel hárommillióba, szóval láthatóan elég népszerű megoldásokról van szó. Előbbi az AP News, a Verge vagy éppen a Telex honlapján is megtalálható, és ezzel nincs is semmi baj, hiszen egy hasznos eszközről beszélünk. A Meta viszont a háttérben futó alkalmazásaival kombinálva arra használta fel az androidos telefonokon, hogy a tudtuk nélkül összekösse az emberekkel a tevékenységüket, a következő módon:
- az ember fogta a telefonját, megnyitotta rajta a Facebookot vagy az Instagramot, pörgette kicsit a hírfolyamot, aztán elkezdett valami mással foglalkozni;
- a háttérben továbbra is futó alkalmazás konyhanyelven fogalmazva megnyitott magának pár ajtót, és elkezdte figyelni, hogy beérkezik-e rajtuk adat egy olyan honlapról, amelybe bele van építve a Meta Pixel;
- ha az illető felment egy ilyen oldalra, akkor a böngészője egy _fbp nevű, hivatalosan amúgy a böngészők azonosításához használt sütit küldött az alkalmazásba;
- és a Meta szervereire is, a meglátogatott honlap linkjével, a böngésző és az operációs rendszer típusával és a Pixel által alapjáraton nyomon követett eseményekkel (például hogy hova kattintottunk);
- aztán végül az alkalmazás küldött még egy adatcsomagot a szerverekre, amely gyakorlatilag összepárosította az információkat a felhasználókkal, így a folyamat végére a Meta pontosan tudta, hogy az eszközön valamelyik alkalmazásába bejelentkezett illető látogatta meg az adott honlapot.
A kutatók szerint a módszer azért is volt aggályos, mert az összes, a nyomkövetés kikerülésére tett próbálkozást feleslegessé tette. Hiába használt valaki inkognitó módot, törölt sütiket vagy kapcsolta ki az összes követési engedélyt az androidos eszközén, a dolog ugyanúgy működött, csak az kellett hozzá, hogy az illető be legyen jelentkezve a Meta valamelyik alkalmazásába. (Tehát ha csak böngészőben nyitotta meg például a Facebook weboldalt, akkor mindez nem vonatkozik rá.) A Brave böngészőjének felhasználói örülhetnek, mert őket egyáltalán nem érintette a dolog, és a DuckDuckGót is csak minimálisan, de a Firefox, a Chrome és az Edge is sebezhetőek voltak.
A probléma csak az androidos rendszereket érinti, iOS-en nem találtak bizonyítékot arra, hogy történt volna ilyesmi – a kutatók szerint technikailag nem lenne lehetetlen, de az Apple szigorúbban kezeli a háttérben futó alkalmazásokat, ami jelentősen megnehezítheti a hallgatózást.
A kutatók kiemelték, hogy június 3-án, azaz az eredményeik közzététele napján a Meta Pixel abbahagyta az ilyen jellegű kérések és adatcsomagok küldését, bár az nem derült ki, hogy pontosan miért. A cég a Registernek azt nyilatkozta, „tárgyalnak a Google-lel egy potenciális félreértésről az irányelveik alkalmazásával kapcsolatban”, és „amint értesültek az aggályokról, felfüggesztették a funkció használatát, amíg dűlőre nem jutnak a Google-lel”. A Meta ennél több infót nem osztott meg a tárgyalásról. A lap a Yandexet is megpróbálta megkeresni, de nem járt sikerrel.
A Meta szerint “jogos érdeke”, hogy a személyes felhasználói adatokat AI-fejlesztésre használja fel
(Telex nyomán Szent Korona Rádió)