近年来,移动设备上的隐私保护话题日益引起公众和业界的高度关注。在众多科技巨头中,Meta(即Facebook母公司)作为社交媒体与广告技术的领军企业,其用户数据处理方式时常成为舆论焦点。近日,安全研究人员揭露出Meta利用安卓系统上的本地端口(localhost)漏洞,通过本地应用监听功能实现对用户移动浏览行为的追踪,进而突破传统隐私保护机制,引发行业震动。随后Meta宣布暂停该技术,开始与Google就相关政策进行沟通,体现了监管压力和用户隐私维护的双重影响。Meta的这一事件不仅反映了大型科技企业在追踪和广告定向技术上的创新尝试,也暴露了现有移动操作系统及应用生态中潜在的隐私风险,值得所有用户、开发者和监管者深入探讨。 该事件由欧洲和西班牙的多家大学及研究机构的计算机科学家联合发现,包括IMDEA Networks、Radboud University和KU Leuven等权威机构的学者们。
他们通过技术分析揭示了Meta及俄罗斯搜索引擎巨头Yandex,分别在其安卓原生应用中开启特定本地端口,暗中监听来自手机浏览器的Meta Pixel和Yandex Metrica脚本发送的浏览器数据。这些数据包含用户的cookie信息及浏览器元数据,使得两大互联网公司能够将网页访问的匿名数据与用户的身份信息实现绑定。通过此种技术,浏览器的隐私保护功能,如清理cookie、无痕浏览模式以及安卓的应用权限系统,都被有效绕过。 所谓localhost,即设备自身的回环网络接口,传统上用于应用开发和测试,是操作系统允许设备向自身网络端口发送请求的一块专用通道。Meta和Yandex利用原生安卓应用在后台开设固定的TCP和UDP端口,令网站中加载的JavaScript脚本得以通过WebRTC、WebSocket、SDP消息格式修改(称为SDP Munging)等多种复杂通信协议和技术,向这些本地端口发送追踪cookie与浏览器信息。由于这些交互发生在设备内部网络环境,绕开了浏览器层面的安全隔离和权限认证,使用者很难察觉其隐私被侵犯。
对Meta而言,这种追踪技术通过其核心的Meta Pixel分析脚本实现。Meta Pixel是许多网站采用的营销工具,旨在监测用户在网页上的行为,以进行精准广告投放并衡量营销效果。研究人员发现在用户登录Facebook或Instagram原生安卓应用后,后台服务持续监听指定端口,而用户打开集成了Meta Pixel的移动浏览器访问网页时,JavaScript脚本会偷偷将包含唯一标识符(_fbp cookie)以及其他浏览器数据发送至本地应用。随后,Meta的应用将这些数据上传至其服务器,并用GraphQL协议关联网页行为数据与用户身份,完成跨应用跨设备的精准追踪。 研究团队指出,这种方式违背了第一方cookie的隐私边界原则,使得用户即便使用Cookie清理、无痕浏览等传统隐私工具,也无法阻止行为被持续追踪。此外,这种技术隐蔽性极强,用户难以察觉其应用暗中监听本地端口传输隐私数据。
Yandex则早在2017年便采用类似技术,将其浏览器和地图应用集成到该追踪机制中,说明该技术并非首次出现,但广泛应用和被社会关注的现象则是近期才爆发。 事件曝光后,Meta迅速回应,暂停了安卓平台上的本地端口追踪功能,并表明正与Google就安卓应用隐私政策的执行细节进行沟通,以避免违反Google Play关于隐私数据采集的规定。这显示出监管合规对科技巨头的实际压力,以及公众和研究界在隐私保护方面发挥的重要作用。Google方面也并非无动于衷,随着问题浮现,Chrome浏览器在2025年5月底发布的137版本已在部分用户群中引入针对SDP Munging技术的限制,进一步切断WebRTC信令绕过本地网络权限的通道。Mozilla Firefox、DuckDuckGo等浏览器也陆续针对类似追踪行为制定了防御手段,反映整个浏览器生态正逐步加强对localhost网络访问的严格控制。 专家建议,在移动设备隐私保护领域,应引入新的权限管理体系,例如提出的“本地网络访问”权限,允许用户更细粒度地控制应用对本地网络接口的访问。
此前有关该权限的开发尝试遭遇技术挑战,但面对Meta和Yandex暴露的现实风险,行业和监管机构的推进动力显著增强。限制应用滥用本地网络接口不仅有助于维护用户隐私,还有助于建立更加安全透明的移动应用生态。 这场事件也让人们再次反思移动端广告技术与用户隐私的博弈。一方面,精准广告依赖数据采集和用户识别技术以提升营销效率,另一方面,用户对隐私泄露的担忧持续加剧,尤其是在个人数据跨平台、跨设备流通时的透明度与控制权难以保障。Meta的本地端口追踪技术突破了传统隐私保护壁垒,其被迫暂停正是技术创新与伦理规范、商业利益与用户权益之间拉锯的缩影。 未来,随着技术不断发展,监管法规将扮演更为关键的角色。
欧洲的GDPR、美国加州的CCPA等数据保护法律已经对个人数据使用提出严格要求,同时各大平台和应用生态也需强化技术审查,确保内置功能不会成为隐私漏洞。消费者自身也应提高数字素养,合理使用隐私增强工具,警惕应用权限的批准,保卫个人信息安全。 总结来看,Meta暂停安卓本地端口追踪技术的事件揭示了现代移动环境中隐私保护的复杂局面。伴随大量用户时间和行为数据被收集与分析,如何在便利与隐私之间实现平衡,依然是科技行业的重要课题。受此次事件影响,安卓平台、浏览器厂商、应用开发者及监管部门将加快合作,推动更加完善的隐私保护机制建设,为用户营造一个更加安全透明的数字世界。
![IAS Interview with Demis Hassabis on the Future of Knowledge [video]](/images/B0E04251-0CCD-4333-88FA-3E0B02AA4303)
