دور زدن حفاظت‌های حریم خصوصی در اندروید توسط Meta و Yandex برای ردیابی کاربران

بررسی‌های اخیر محققان امنیت سایبری فاش کرده است که شرکت‌های بزرگ فناوری Meta (فیسبوک سابق) و Yandex از یک ویژگی طراحی اساسی در سیستم‌عامل اندروید برای ردیابی پنهانی فعالیت وب کاربران و اتصال آن به هویت واقعی‌شان سوءاستفاده کرده‌اند.

این افشاگری نگرانی‌های گسترده‌ای درباره حریم خصوصی ایجاد کرده و باعث واکنش سریع توسعه‌دهندگان مرورگرها و مدیران پلتفرم‌ها شده است.

---

مکانیزم ردیابی چگونه کار می‌کرد؟

این تکنیک بر پایه استفاده از رابط localhost (127.0.0.1) یا همان ارتباط داخلی سیستم بنا شده است؛ رابطی که اجازه می‌دهد یک برنامه با خودِ دستگاه ارتباط برقرار کند.

در اندروید، هر اپلیکیشنی که مجوز INTERNET داشته باشد، می‌تواند روی این رابط یک درگاه گوش‌به‌زنگ (listening port) باز کند.

در حالی‌که این قابلیت معمولاً برای اهداف توسعه و دیباگ استفاده می‌شود، Meta و Yandex آن را به ابزاری برای ردیابی کاربران تبدیل کرده‌اند.

وقتی کاربری از وب‌سایتی بازدید می‌کرد که شامل اسکریپت‌های Meta Pixel یا Yandex Metrica بود، این اسکریپت‌ها در مرورگر اجرا می‌شدند و به‌صورت پنهانی به اپ‌های بومی نصب‌شده روی همان دستگاه (مثل فیسبوک، اینستاگرام، Yandex Maps و Yandex Browser) از طریق پورت‌های لوکال‌هاست متصل می‌شدند.

مثال:

• اپ‌های Meta روی پورت‌های UDP بین ۱۲۵۸۰ تا ۱۲۵۸۵ گوش می‌دادند.

• اپ‌های Yandex روی پورت‌های TCP مانند ۲۹۰۰۹، ۲۹۰۱۰، ۳۰۱۰۲ و ۳۰۱۰۳ فعال بودند.

این اسکریپت‌ها فراداده‌های مرورگر، کوکی‌ها و دستورات خاص را به این پورت‌ها ارسال می‌کردند. برای مثال، در مورد Meta، کوکی _fbp از طریق پروتکل WebRTC (با استفاده از STUN و سپس TURN) ارسال شده و در فیلد ice-ufrag پیام SDP قرار می‌گرفت.

به این ترتیب اپلیکیشن بومی می‌توانست این کوکی را دریافت و به هویت دائمی کاربر در اپلیکیشن متصل کند، و بدین‌ترتیب فعالیت وب کاربر را از حالت ناشناس خارج کند.

---

جزئیات فنی و بردارهای خطر

این روش:

• حتی در حالت ناشناس (Incognito Mode) یا پس از پاک‌کردن کوکی‌ها نیز کار می‌کرد.

• کوکی‌هایی که قرار بود صرفاً برای ردیابی داخلی یک سایت استفاده شوند (first-party cookies)، در اینجا برای ردیابی چندسایتی (cross-site tracking) استفاده شده بودند.

• باعث ایجاد پروفایل ماندگار از فعالیت‌های وب کاربر بر پایه IDهای طولانی‌مدت اپلیکیشن می‌شد.

همچنین، چون ارتباط از طریق HTTP بین مرورگر و اپ صورت می‌گرفت، احتمال سوءاستفاده توسط سایر اپ‌های مخرب نیز وجود داشت؛ یعنی اگر اپ دیگری روی همان پورت گوش می‌داد، می‌توانست تاریخچه مرور وب را بدزدد.

محققان با ساخت اپ آزمایشی موفق شدند URLهای بازدید شده را حتی در حالت مرور خصوصی نیز جمع‌آوری کنند.

• مرورگرهایی مانند Chrome، Firefox و Edge آسیب‌پذیر بودند.

• اما مرورگرهای Brave و DuckDuckGo به دلیل سیستم دفاعی مبتنی بر blocklist تا حد زیادی محافظت‌شده باقی ماندند.

---

نمونه اپ‌های Yandex و پورت‌های مورداستفاده:

---

واکنش‌ها و اقدامات اصلاحی صنعت

پس از افشای عمومی این روش ردیابی:

• Meta و Yandex استفاده از این تکنیک را متوقف کردند.

  • اسکریپت Meta Pixel از ۳ ژوئن ۲۰۲۵ دیگر داده‌ای به localhost ارسال نمی‌کند.

  • یاندکس نیز به طور رسمی این رفتار را متوقف کرده است.

• Meta اعلام کرده که در حال همکاری با Google برای بررسی و حل مسائل سیاستی مرتبط است.

مرورگرها نیز واکنش نشان دادند:

• Chrome نسخه ۱۳۷ (منتشرشده در ۲۶ می ۲۰۲۵): پورت‌های مورداستفاده را مسدود کرده و امکان سوءاستفاده از SDP munging را غیرفعال کرده است.

• Firefox در نسخه ۱۳۹: برنامه‌ریزی کرده پورت‌های آسیب‌پذیر را ببندد.

• Brave و DuckDuckGo: قبلاً سیستم دفاعی مؤثری داشتند. Brave نیاز به تأیید کاربر برای ارتباط localhost دارد و DuckDuckGo از لیست‌های مسدودی استفاده می‌کند.

---

توصیه‌ها و آینده‌ی امنیت حریم خصوصی

محققان هشدار می‌دهند که این اقدامات موقتی کافی نیست و باید:

• کنترل‌های دسترسی به localhost برای کاربران تقویت شود.

• سیاست‌های پلتفرمی سخت‌گیرانه‌تری اجرا گردد.

• امنیت در مکانیسم‌های ارتباط بین‌فرایندی اندروید (IPC) ارتقاء یابد.

این کشف نشان می‌دهد چگونه حتی ویژگی‌های طراحی پایه در سیستم‌عامل‌ها می‌توانند در صورت سوءاستفاده به تهدیدی جدی برای حریم خصوصی کاربران تبدیل شوند.

تیم تحقیقاتی شامل:
Aniketh Girish، Gunes Acar، Narseo Vallina-Rodriguez، Nipuna Weerasekara و Tim Vlummens خواهان شفافیت بیشتر و پاسخگویی شرکت‌های فناوری در حفاظت از داده‌های کاربران شده‌اند.