作者
標題 [新聞] Meta、Yandex被揭露監聽Android本機通訊
時間 Tue Jun 10 09:14:45 2025
標題 [新聞] Meta、Yandex被揭露監聽Android本機通訊
時間 Tue Jun 10 09:14:45 2025
https://www.ithome.com.tw/news/169394
Meta、Yandex被揭露監聽Android本機通訊埠,橋接瀏覽器與App身分進行追蹤 | iThome
![[圖]]()
Meta與Yandex遭揭露在Android平臺監聽本機通訊埠,繞過隱私防護,串接Web與App身分,提升追蹤精確度並引發資安疑慮,主流瀏覽器已緊急修補,兩家公司現已停止相關追蹤功能 ...
![[圖]](https://i4.disp.cc/t/p/s4.itho.me_sites_def7834780cf0ccc97c6801246bbacb56be.png)
Meta、Yandex被揭露監聽Android本機通訊埠,橋接瀏覽器與App身分進行追蹤
ithome 文/李建興 | 2025-06-06發表
Meta與Yandex遭揭露在Android平臺監聽本機通訊埠,繞過隱私防護,串接Web與App身分
,提升追蹤精確度並引發資安疑慮,主流瀏覽器已緊急修補,兩家公司現已停止相關追蹤
功能
,提升追蹤精確度並引發資安疑慮,主流瀏覽器已緊急修補,兩家公司現已停止相關追蹤
功能
西班牙IMDEA Networks Institute、荷蘭Radboud University及比利時KU Leuven等學術
機構研究人員共同發表研究,發現知名科技公司Meta與Yandex在Android平臺上,透過監
聽本機通訊埠的方式,建立瀏覽器與原生App之間的身分橋接,實現用戶行為的去匿名化
追蹤。此技術手法繞過了傳統的隱私保護機制,侵害行動裝置用戶的個人資料保護與隱私
安全。
機構研究人員共同發表研究,發現知名科技公司Meta與Yandex在Android平臺上,透過監
聽本機通訊埠的方式,建立瀏覽器與原生App之間的身分橋接,實現用戶行為的去匿名化
追蹤。此技術手法繞過了傳統的隱私保護機制,侵害行動裝置用戶的個人資料保護與隱私
安全。
根據該項研究結果,Meta的Facebook與Instagram應用程式,以及Yandex旗下多款應用程
式,會在Android裝置中於背景持續監聽特定本地端通訊埠。當用戶開啟安裝有Meta
Pixel或Yandex Metrica追蹤碼的網站時,瀏覽器中的JavaScript腳本會將瀏覽行為與身
分資訊經由本地端Socket傳遞至這些原生App,進而實現Web與App間的身分串接。此舉突
破現行如清除Cookie、無痕瀏覽以及Android權限控管等防護,可連結原本分散、短暫的
瀏覽識別與長期、個人化的App帳號或裝置識別碼,提升追蹤的精確度與持續性。
分資訊經由本地端Socket傳遞至這些原生App,進而實現Web與App間的身分串接。此舉突
破現行如清除Cookie、無痕瀏覽以及Android權限控管等防護,可連結原本分散、短暫的
瀏覽識別與長期、個人化的App帳號或裝置識別碼,提升追蹤的精確度與持續性。
以Meta為例,研究指出其Facebook與Instagram應用程式會在背景啟動服務,監聽一組UDP
與TCP本地埠口。當用戶瀏覽嵌有Meta Pixel的網站時,腳本會將_fbp Cookie透過WebRTC
協定,以名為SDP Munging或TURN的方法傳遞至本機通訊埠,然後由原生App接收後,與用
戶帳號一同傳送至Meta伺服器。這讓Meta能夠跨網頁與App層串接同一用戶,打破現有第
一方Cookie僅限單一網站範疇的隱私保護。
與TCP本地埠口。當用戶瀏覽嵌有Meta Pixel的網站時,腳本會將_fbp Cookie透過WebRTC
協定,以名為SDP Munging或TURN的方法傳遞至本機通訊埠,然後由原生App接收後,與用
戶帳號一同傳送至Meta伺服器。這讓Meta能夠跨網頁與App層串接同一用戶,打破現有第
一方Cookie僅限單一網站範疇的隱私保護。
Yandex則採用HTTP與HTTPS請求發送至指定本地端埠口,由旗下如Yandex Maps、Yandex
Browser等App監聽。這些App會回應包含Android Advertising ID等身分資訊,由瀏覽器
腳本收集後一併上傳,這種設計還透過DNS解析將追蹤網域指向127.0.0.1,進一步隱匿流
量與資料流向,使一般檢測機制更難發現。
Browser等App監聽。這些App會回應包含Android Advertising ID等身分資訊,由瀏覽器
腳本收集後一併上傳,這種設計還透過DNS解析將追蹤網域指向127.0.0.1,進一步隱匿流
量與資料流向,使一般檢測機制更難發現。
此種利用Android開放本機Socket設計的追蹤方式,受影響範圍極廣,據統計,Meta
Pixel與Yandex Metrica分別被嵌入全球數百萬個網站。研究實測也顯示,即便用戶未明
確同意Cookie政策,這些身分串接仍有機會被觸發,且由於本機通訊埠監聽並無特別權限
限制,其他惡意App也可能偵聽相關埠口,衍生更多資安與個資外洩風險。
確同意Cookie政策,這些身分串接仍有機會被觸發,且由於本機通訊埠監聽並無特別權限
限制,其他惡意App也可能偵聽相關埠口,衍生更多資安與個資外洩風險。
為了評估此追蹤手法對不同瀏覽器的影響,研究團隊針對多款主流瀏覽器,包括Chrome、
Microsoft Edge、Firefox、DuckDuckGo及Brave進行測試。測試結果顯示,當網站腳本嘗
試與本機通訊埠連線時,Chrome及Edge均受到Meta與Yandex這類追蹤行為的影響,能夠被
追蹤腳本連接並傳遞身分資料。Brave則因為自2022年起針對本地主機連線實施嚴格封鎖
策略,能有效防止這類攻擊,DuckDuckGo則透過增加阻擋清單減少部分風險。Firefox雖
對Meta的技術較具防禦力,但對Yandex的HTTP請求仍會受到影響。
Microsoft Edge、Firefox、DuckDuckGo及Brave進行測試。測試結果顯示,當網站腳本嘗
試與本機通訊埠連線時,Chrome及Edge均受到Meta與Yandex這類追蹤行為的影響,能夠被
追蹤腳本連接並傳遞身分資料。Brave則因為自2022年起針對本地主機連線實施嚴格封鎖
策略,能有效防止這類攻擊,DuckDuckGo則透過增加阻擋清單減少部分風險。Firefox雖
對Meta的技術較具防禦力,但對Yandex的HTTP請求仍會受到影響。
目前主流瀏覽器已針對此類本地端Socket溝通提出初步防禦措施,例如封鎖特定埠口、限
制SDP欄位操作等。不過,研究人員強調,Android平臺本身的設計限制若未根本改善,相
關風險仍然存在。Meta與Yandex皆未在官方文件公開說明此類技術細節,也未針對外界或
開發者社群的相關討論給出明確回應,但是皆已停止相關追蹤功能運作。
制SDP欄位操作等。不過,研究人員強調,Android平臺本身的設計限制若未根本改善,相
關風險仍然存在。Meta與Yandex皆未在官方文件公開說明此類技術細節,也未針對外界或
開發者社群的相關討論給出明確回應,但是皆已停止相關追蹤功能運作。
心得/評論:
其實Meta的Facebook與Instagram會侵害隱私早已經不是新鮮事了,這次說來其實也不意
外
(2019新聞)Facebook使用者密碼以未經加密明文儲存
https://www.ithome.com.tw/news/129511
![[圖]](https://s4.itho.me/sites/default/files/field/image/facebook_headquarters-960.png)
收購Onavo VPN,以保護隱私為名,實際蒐集用戶各種資料、
Facebook與中國政府合作審查內容
Facebook APP蒐集用戶位置
Cambridge Analytica(劍橋分析)事件
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 49.217.196.108 (臺灣)
※ 作者: qwe711334 2025-06-10 09:14:45
※ 文章代碼(AID): #1eHuS8Jh (MobileComm)
※ 文章網址: https://www.ptt.cc/bbs/MobileComm/M.1749518088.A.4EB.html
→ : 這就是Yandex搜圖超準的原因嗎XD1F 06/10 09:21
推 : 阿祖又要去罰站了嗎2F 06/10 09:26
噓 : 鄉民:沒42讓我們繼續檢討SIRI竊聽3F 06/10 09:30
→ : 只剩歐盟能制裁了4F 06/10 09:35
推 : 美國爸爸監聽又沒差 不是阿共就好5F 06/10 10:31
推 : 完全不意外6F 06/10 10:43
→ : 其他網站看了一下 主要還是靠APP觸發的樣子7F 06/10 11:04
推 : 把連網全禁止了8F 06/10 11:27
→ : 祖克柏早就是中共的走狗了,meta監聽實質是中共在監聽9F 06/10 11:31
推 : meta根本不意外 祖刻薄超ㄏ11F 06/10 12:07
→ : 是為了搭配臉書誦經團才竊聽的啦 沒事兒12F 06/10 12:10
推 : 死詐騙軟體,還在用的等著被騙13F 06/10 12:47
→ : 他們原本就是偷東西起家的14F 06/10 12:52
→ : Meta的詐騙帳號比其他社群還海量,嘔嘔嘔15F 06/10 12:53
蜻蜓計畫 - 維基百科,自由的百科全書
蜻蜓計劃[1][2][3][4](Dragonfly)是Google為了重返中國大陸市場而進行的計畫[1][2][3][4]。於2018年8月1日被美國網路媒體The Intercept爆料[1]。根據披露的內容,此計畫開始於2017年初,Google將為中國使用者建立一個定製版的搜尋引擎。中國政府可以查看蜻蜓計畫中資料庫的內容,並且以此過濾字詞與建立黑名單。並且,假如計畫順利且中國政府批准的話,此計畫中的審查版搜尋引擎原本預計在2019年2月到5月上 ...
蜻蜓計劃[1][2][3][4](Dragonfly)是Google為了重返中國大陸市場而進行的計畫[1][2][3][4]。於2018年8月1日被美國網路媒體The Intercept爆料[1]。根據披露的內容,此計畫開始於2017年初,Google將為中國使用者建立一個定製版的搜尋引擎。中國政府可以查看蜻蜓計畫中資料庫的內容,並且以此過濾字詞與建立黑名單。並且,假如計畫順利且中國政府批准的話,此計畫中的審查版搜尋引擎原本預計在2019年2月到5月上 ...
→ : 莫非這就是我剛搜尋完某樣物品,FB和IG就能馬上出廣告的暖心技巧?17F 06/10 12:53
社群網戰 - 維基百科,自由的百科全書
2003年10月,19歲的哈佛大學學生馬克· 祖克柏在酒吧與女朋友艾莉卡· 歐布萊特(Erica Albright)分手後,返回宿舍於LiveJournal的部落格寫了一個關於歐布萊特的侮辱性條目,接著駭進大學資料庫以盜取女學生的相片,然後與朋友愛德華多· 薩維林建立一個稱為FaceMash的校園網站,容許瀏覽者評價她們的吸引力。這導致大學的伺服器癱瘓,卻讓祖克柏在校內一夜成名,獲得6個月的留校察看的處分。然而,FaceMash網站的受歡迎程度吸引了不少人的關注,包括高年級學生的孿生兄弟卡麥隆· 溫克沃斯(英語:Cameron Winklevoss)與泰勒· 溫克沃斯(英語:Tyler Winklevo ...
2003年10月,19歲的哈佛大學學生馬克· 祖克柏在酒吧與女朋友艾莉卡· 歐布萊特(Erica Albright)分手後,返回宿舍於LiveJournal的部落格寫了一個關於歐布萊特的侮辱性條目,接著駭進大學資料庫以盜取女學生的相片,然後與朋友愛德華多· 薩維林建立一個稱為FaceMash的校園網站,容許瀏覽者評價她們的吸引力。這導致大學的伺服器癱瘓,卻讓祖克柏在校內一夜成名,獲得6個月的留校察看的處分。然而,FaceMash網站的受歡迎程度吸引了不少人的關注,包括高年級學生的孿生兄弟卡麥隆· 溫克沃斯(英語:Cameron Winklevoss)與泰勒· 溫克沃斯(英語:Tyler Winklevo ...
![[圖]](https://scontent-nrt1-2.cdninstagram.com/v/t51.75761-15/503896325_18061373141515499_6891295582991563155_n.jpg?stp=cmp1_dst-jpg_e35_s640x640_tt6&_nc_cat=107&ccb=1-7&_nc_sid=18de74&_nc_ohc=Ivgq6szxMV4Q7kNvwEeIayT&_nc_oc=AdnR1IBCePjfqLiRe8k5T9Lvd8fwxiV_9bRGTVlHIGY2IoF7rEP-gCFLNeB0sqx0nlMvVgXFqijDWC2fBrimDOB8&_nc_zt=23&_nc_ht=scontent-nrt1-2.cdninstagram.com&_nc_gid=G1VQW7I91-cRs83zAmwsXQ&oh=00_AfNI-cVOZIIJt6NT0rmHL5m8iKAcHSG37FoLqMF9aS6EoA&oe=684F249F)
→ : 利用價值再把他拔掉
你們都一直以爲是你們在用他只有華爲醒了 不再依賴日本很早系統就是獨立的所以他們現在那麼慘
獨立系統要維護的成本很高
https://tinyurl.com/28mnsgb322F 06/10 12:58
你們都一直以爲是你們在用他只有華爲醒了 不再依賴日本很早系統就是獨立的所以他們現在那麼慘
獨立系統要維護的成本很高
https://tinyurl.com/28mnsgb322F 06/10 12:58
1碗飯配味噌湯+雞塊 日本國小超寒酸營養午餐曝光引熱議 - 國際 - 自由時報電子報
![[圖]]()
李欣潔/核稿編輯日本近年來物價上漲加上缺米狀況持續,導致學校餐廳供給受到影響,日前福岡1間小學的營養午餐圖流出,僅有1碗飯、1杯牛奶、1碗味噌湯跟1塊唐揚雞,引發熱議。 ...
![[圖]](https://img.ltn.com.tw/Upload/news/600/2025/06/10/phpobWEFO.jpg)
推 : Brave最安全最優質27F 06/10 14:00
→ : ig跟fb都用去廣告版,眼不見為淨28F 06/10 14:14
→ : 台灣不少手機有預載FB和IG 真的沒在用也可移除省事29F 06/10 22:09
推 : 技術太差被查出來而已 我大華為 抖音還是技高一籌30F 06/11 11:43
推 : 最近facebook revanced 廣告開始變多了31F 06/11 13:22
--