Meta和Yandex遭揭露監聽本機通訊埠 使用者個資、隱私全外流

記者孫敬／編譯

社群媒體龍頭Meta和俄羅斯科技公司Yandex，被揭露曾透過安卓（Android）系統監聽「本機通訊埠」（localhost sockets）方式，在使用者毫無察覺的情況下，建立瀏覽器跟原生APP間的身分橋接，悄悄接收來自數百萬個網站上嵌入的Meta Pixel或Yandex Metrica追蹤碼所傳送的瀏覽器數據、Cookie及指令，巧妙繞過傳統的隱私保護措施，侵害行動裝置使用者的個人資料安全和隱私。

延伸閱讀：Chrome擴充功能潛藏資安陷阱！受影響的範圍一次看

大揭秘：Meta與Yandex曾利用安卓系統漏洞，秘密追蹤數十億使用者

據了解，這種追蹤機制之所以能得逞，在於臉書與Instagram以及Yandex旗下的應用程式，會在背景持續監聽特定本地端的通訊埠，當Meta Pixel或Yandex Metrica的追蹤碼網站被開啟時，JavaScript程式碼會將使用者的第一方瀏覽行為跟身分資訊（Cookie），悄悄發送到安卓應用程式在本地埠口的監聽器，這種數據流向對於Chrome的開發者工具等標準瀏覽器除錯工具來說，不論是使用者還是資安研究人員都難以發覺。

根據BuiltWith的數據，Meta Pixel被嵌入超過580萬個網站中，使得_fbp這類第一方Cookie成為網路中第三常見的Cookie。研究人員對全球排名前10萬的網站進行爬取後發現，僅在美國就有17,223個網站、歐盟有15,677個網站試圖進行本地端通訊，其中約75-78%的網站是在使用者未明確同意的情況下觸發了這種行為。

這種追蹤方法有效地規避了既有的隱私保護措施，包括清除Cookie、無痕模式，甚至安卓系統的權限控制。即使是那些在手機瀏覽器上未登入臉書或Instagram的使用者，也可能透過安卓廣告ID（AAID）的橋接機制被追蹤。

在資安人員向瀏覽器服務業者回報這項問題後，Google Chrome已於2025年5月26日發布的137版本中，將受濫用的埠口禁用Meta Pixel使用的特定SDP Munging技術。Firefox瀏覽器在139版本中也引入了類似的埠口阻擋措施，而DuckDuckGo和Brave等注重隱私的瀏覽器，早已建立本地端通訊保護機制。

Meta已於2025年6月3日左右停止了這項做法，其Facebook Pixel腳本不再向本地主機發送封包，相關程式碼也幾乎被完全移除。Yandex也在被揭露後，停止了地端通訊的追蹤操作。

資料來源：《Cyber Security News》、《iThome》

瀏覽 358 次