随着移动互联网的快速发展,用户隐私保护日益成为技术与法律的焦点。近日,研究人员揭露了Meta(Facebook)和俄罗斯互联网巨头Yandex在安卓平台上利用本地主机端口进行网页与原生应用间隐秘追踪的新技术,影响范围或涉及数以亿计的用户。这种未被广泛知晓的网页到应用的标识共享机制,突破了传统隐私保护手段,带来了前所未有的风险和挑战。 Meta与Yandex通过监听安卓设备的固定本地端口,巧妙地让网页端脚本和原生应用实现数据交换。换句话说,当用户使用手机浏览器访问集成了Meta Pixel或Yandex Metrica追踪代码的网站时,这些JavaScript脚本会通过本地主机地址127.0.0.1与设备上的本地应用通信,传递关键数据如cookies、设备广告标识符(AAID)和其他身份信息。通过这种技术,原本网页上的临时会话标识能够与本地长期存在的用户账号ID相连接,直接突破了匿名状态,将用户的网络行为与真实身份相关联。
安卓系统的设计允许任何获得INTERNET权限的应用在本地主机接口开启监听端口,而浏览器作为本地主机地址的正常访问者,可以不经过用户许可自由通信。这种机制本应便于本地开发和调试,但Meta与Yandex却将其滥用于跨应用数据共享,形成了一种隐蔽的跨环境用户追踪技术。普通用户甚至网站运营者往往难以察觉该过程,更谈不上有效防护。 Meta方面,Facebook和Instagram两个常用应用会监听特定UDP及TCP端口,等待来自网页端Meta Pixel JavaScript的_fbp第一方cookie信息。该cookie的主要目的是辨识浏览器身份,用于广告投放和流量统计,存续期限达90天,覆盖全球25%的顶级网站。通过WebRTC的STUN信令技术将_fbp信息嵌入会话描述协议(SDP)中的ice-ufrag字段,发送至本地监听端口,实现cookie从网页传递至本地应用的“秘密”桥接。
紧接着,应用将此信息连同持久化用户标识通过GraphQL接口上传到服务器,将匿名网络标识关联至用户Facebook或Instagram账号。 2025年6月3日起,Meta已停止上述通过localhost发送_fbp数据的行为,部分代码被删除,显示对该行为的回应。但其在过去数月间所积累的数据可能已形成较为完整的跨平台用户轨迹。 Yandex则早在2017年起便采用本地主机HTTP(S)请求机制,由多款Yandex应用(如Yandex Maps、Yandex Browser、Yandex Navigator等)在本地端口监听来自网页端Yandex Metrica脚本的请求。网页脚本首先向Yandex后端服务器获取密码化参数,再通过本地主机请求发送给本地应用。应用使用本地API抽取设备广告ID及其他唯一标识,生成编码后回复网页端,网页端随后将这些本地信息连同混淆参数一并上传,完成跨环境数据汇聚。
与Meta不同的是,Yandex的本地应用扮演代理角色,将本地隐私数据先传递至网站脚本再上传服务器,数据中转流程更复杂且难以检测。 Yandex使用HTTP而非WebRTC协议,这种设计导致潜在风险更高。任何安装了恶意权限的第三方安卓应用,若监听这些端口,便可截获网页向本地应用发送的请求,从而泄露用户浏览历史。研究团队开发了概念验证应用,成功在Chrome、Firefox、Edge等多款浏览器中演示了该漏洞的现实可行性,显示即使在隐身模式下,用户浏览记录仍可能被外界窃取。Brave和DuckDuckGo浏览器通过引入本地请求阻断及域名黑名单部分限制了此类风险。 此次跨平台追踪方法的流行程度令人震惊。
根据HTTP Archive与BuiltWith数据,Meta Pixel与Yandex Metrica分别分布于数百万甚至千万级网页,广泛应用于全球各种领域。研究人员在对欧美主要站点的抽样爬取中,发现数千至数万站点默认激活了本地主机通信,且不少网站在用户未明确同意cookie政策前,就已启动此类追踪操作,疑似违反多地区数据保护法规(如GDPR)。这加重了用户隐私被侵犯的忧虑,也对网站合规运营提出严峻挑战。 Meta与Yandex未曾公开说明他们的这些技术细节。调查中多名网站开发者在Meta官方开发者论坛提出疑问,均未获得官方回应。用户亦极难察觉此类追踪,即便他们不登录相关应用,或使用浏览器匿名/隐私模式,甚至清除所有cookies,该技术依然能将网络行为与设备唯一标识关联,这显著突破了传统隐私防护边界。
为应对此漏洞,主流浏览器已开始升级防护措施。谷歌Chrome自137版本起封禁部分UDP监听端口,对Meta Pixel的SDP字段篡改手法实施限制,Firefox准备在未来版本中加入相应阻断,DuckDuckGo和Brave则依靠严格的本地访问权限控制与黑名单减轻危害。然而,专家认为彻底解决此类隐蔽追踪,需要安卓操作系统本身加强跨进程通信准入管理,健全用户知情与访问权限机制,以及行业制定统一规范,避免绕过平台安全策略的“本地主机”传输漏洞继续被利用。 隐私保护组织呼吁用户在使用安卓设备时,关注应用权限设置,避免安装不明来源的应用,并选择支持严格隐私控制的浏览器。网站运营者也应审慎选择第三方分析与广告工具,确保其运行模式符合当地法律及用户隐私期望。监管机构逐渐意识到本地主机通信带来的风险,可能会在未来推动更细致的隐私合规审查与技术标准制定。
这起Meta与Yandex安卓本地主机追踪技术的曝光,不仅揭开了跨界数据共享的神秘面纱,也向整个互联网生态发出了警示。数字时代,用户隐私保护形势复杂多变,需要技术研发商、平台运营商、法规制定者以及广大用户多方协同努力,才能筑牢信息安全的防线。面对此类深层隐私威胁,唯有透明、责任与创新才能共创更加安全可信的网络环境。
