[ON] Facebook и Yandex использовали свои Android-приложения для деанонимизации сеансов в браузерах

[rssbot]

Компании Meta^* и Yandex уличили в скрытом отслеживании пользователей и манипуляциях для обхода предоставляемых браузерами средств обеспечения конфиденциальности, таких как режим инкогнито и возможность очистки Cookie. Активность по деанонимизации сеансов применялась на платформе Android при открытии сайтов, использующих системы web-аналитики Яндекс Метрика или Facebook Pixel.


Суть использованного метода идентификации сводится к тому, что распространяемые Meta и Yandex мобильные приложения для Android, такие как Facebook, Instagram, Yandex Maps, Yandex Navigator, Yandex Search, Yandex Go: Taxi Food и Yandex Browser, создавали дополнительный канал связи с выполняемым в браузере JavaScript-кодом. Мобильные приложения запускали отдельные обработчики соединений на локальном сетевом интерфейсе (127.0.0.1), принимающие запросы по протоколам HTTP, HTTPS, WebSocket и WebRTC.

При открытии в браузере сайтов, использующие системы web-аналитики Yandex Metric или Facebook Pixel, связанный с данными системами JavaScript-код отправлял запросы на открытые мобильными приложениями сетевые порты. В запросах передавались метаданные, Cookie и управляющие команды. В мобильных приложениях браузерные сеансы связывались с реальными идентификаторами пользователя и устройства, к которым имели доступ приложения. Например, сеансы могли связываться с учётными записями в Facebook и Yandex или с идентификаторами AAID (Android Advertising ID). Таким образом, даже при открытии сайта в режиме инкогнито или после удаления Cookie, сервисы Meta и Yandex могли точно идентифицировать пользователя, открывшего сайт, привязываясь к идентификаторам из мобильных приложений, запущенных на том же устройстве.

Реализованная техника представляла опасность не только из-за утечки информации в Facebook и Yandex, но и из-за возможности использования вредоносными приложениями. Сетевые порты, на которые отправлялись сведения об активности в браузере, могли использовать любые приложения для отслеживания активности пользователя и построения истории посещений, а не только приложения Facebook и Yandex.


Компании Facebook и Yandex воспользовались тем, что платформа Android не ограничивает создание слушающих сокетов в привязке к интерфейсу loopback (127.0.0.1), если приложение имеет полномочия INTERNET. В случае Facebook локальному приложению передавалось содержимое Cookie "_fbp" (уникальный идентификатор пользователя в Facebook Pixel). Через манипуляции с WebRTC содержимое подставлялось в поле "ice-ufrag" пакетов SDP, отправляемых в STUN-запросах на локальный хост. 17 мая в Chrome была заблокирована подобная возможность и скрипты Facebook Pixel перевели на использование
WebRTC TURN. После раскрытия результатов исследования компания Meta удалила из скриптов Facebook Pixel отправку запросов на localhost.

В Яндекс метод отправки данных из браузера в мобильные приложения применялся с 2017 года. JavaScript-код сервиса Yandex Metrica устанавливал HTTP- или HTTPS-соединение с localhost по сетевым портам 29009, 29010, 30102 и 30103. Обращения отправлялись на сайт yandexmetrica.com, доменное имя которого резолвилось в IP-адрес 127.0.0.1. Информация о сетевых портах, на которых мобильные приложения Yandex должны были открыть слушающие сокеты, подгружалась динамически через запрос к хосту startup.mobile.yandex.net.


Сервер также передавал параметр first_delay_seconds, содержащий задержку перед запуском сетевых сервисов (приложения начинали принимать соединения не сразу после установки, а примерно через три дня). В ответ на HTTP-запрос мобильное приложение возвращало набор данных, включающий идентификаторы в сервисах Yandex, системные UUID и AAID (Android Advertising ID). JavaScript код Yandex Metric переправлял полученные идентификаторы на сервер mc.yango.com.

Упомянутые методы передачи данных работали в версиях Chrome и Edge для Android. В Firefox работал только метод Yandex. В DuckDuckGo и Brave отправка запросов к localhost блокировалась или требовала ручного подтверждения операции. В представленном в конце мая выпуске Chrome 137 была добавлена защита от подстановки данных в SDP.


Для защиты от рассмотренных злоупотреблений развивается спецификация
PNA (Private Network Access), дающая возможность ограничить обращение к хостам во внутренней сети (127.0.0.0/8, 192.168.0.0/16, 10.0.0.0/8 и т.п.). Пробное внедрение данной спецификации в Chrome оказалось неудачным из-за возникновения проблем с совместимостью с некоторыми устройствами. В настоящее время развивается второй вариант спецификации - LNA (Local Network Access), для поддержки которой не требуется изменение на стороне устройств и достаточно изменений на стороне сайтов, которым нужен доступ к интранет-ресурсам.






Источник: https://www.opennet.ru/opennews/art.shtml?num=63350
(opennet.ru, основная лента)

[yoricI]

Так это покушение на хищение личных данных, как минимум. Какая ответственность за это?

[Bizdelnick]

Так это покушение на хищение личных данных, как минимум.

Так персданные пользователь сам вбил в яндексе или экстремистской соцсети. И галочку поставил, что даёт разрешение на обработку и передачу третьим лицам.

[ormorph]

Так персданные пользователь сам вбил в яндексе или экстремистской соцсети. И галочку поставил, что даёт разрешение на обработку и передачу третьим лицам.

Так программы Yandex Maps, Yandex Navigator, Yandex Search, не требуют этого, там даже не нужен электронный ящик от яндекса. Ну и обработка информации это одно, а передача её третьим лицам это другое, тут на сколько я понял уже идёт нарушение закона, и о чём бы они тут не договаривались, но в этом пока их ещё не уличили.

[Bizdelnick]

Так программы Yandex Maps, Yandex Navigator, Yandex Search, не требуют этого, там даже не нужен электронный ящик от яндекса.

Тогда и персданные с активностью в браузере не ассоциировать, потому что взять их неоткуда.

Ну и обработка информации это одно, а передача её третьим лицам это другое, тут на сколько я понял уже идёт нарушение закона, и о чём бы они тут не договаривались, но в этом пока их ещё не уличили.

Да, другое, на это тоже должно быть явно прописано разрешение. И оно прописано.

Spoiler

yandex_pd.png

[ormorph]

Да, другое, на это тоже должно быть явно прописано разрешение. И оно прописано.

Вы же сами понимаете что это другое. Тут личная информация не разглашается, кроме того чётко прописаны цели, где данная информация будет использоваться и какие лица подлежат наказанию в случае разглашения конф информации. Тут же нарушение в том, что запускаются обработчики соединений когда даже не используется сервис или приложение, т.е. идёт сбор информации независимо от того пользуется пользователь этим программным решением или нет.
Просто я уже натыкался на случаи когда впихивают договор, который просто противоречит законодательству и когда чётко прописано в законе когда требуется нотариальное удостоверение и т.п., так ещё договор составил юрист. Так что договор договору рознь, то что противоречит текущему законодательству не имеет юридической силы.

[Bizdelnick]

идёт сбор информации независимо от того пользуется пользователь этим программным решением или нет.

А где Вы увидели, что обработка персональных данных разрешается только в момент пользования приложением? Оно даётся организации и тем, кому она его перепоручила. В любой удобный для неё момент.

[Aliech]

Так что договор договору рознь, то что противоречит текущему законодательству не имеет юридической силы.

А что противоречит, например, текущему законодательству РФ? У Яндекса есть вот такое в политике использования:
https://yandex.ru/legal/maps_termsofuse/

Для целей предоставления функции «Подписка на отзывы» и при наличии соответствующих разрешений, предоставленных Пользователем при использовании Сервиса посредством мобильного приложения, Яндекс может обрабатывать следующие данные: номер телефона Пользователя, указанный в Яндекс ID, информацию о членах Семейной группы Пользователя в Яндекс ID (https://yandex.ru/support/id/family.html), информацию из списка контактов мобильного устройства Пользователя, информацию о других Пользователях, добавленных в друзья Пользователя на иных сайтах и сервисах. Пользователь подтверждает, что заручился всеми необходимыми согласиями для обеспечения обработки Яндексом персональной информации соответствующих третьих лиц в целях предоставления Пользователю функции «Подписка на отзывы».

Что будут обрабатывать - заявлено (ВСЁ, ДАЖЕ ТРЕТЬИХ ЛИЦ!). Ограничение по времени (когда обрабатывать) - нет. Требования подобных ограничений на момент обработки - не припомню в законодательстве хоть одном. Можно примеры? Ну вот где в законодательстве РФ прописано, что данные собираются лишь в момент работы приложения? А не в любой момент поставщиком услуги, которому дали согласие (даже не в момент оказания услуги)? Может, хотя бы, не в законодательстве РФ?

[ormorph]

А что противоречит, например, текущему законодательству РФ? У Яндекса есть вот такое в политике использования:
https://yandex.ru/legal/maps_termsofuse/

В этом договоре ни чего такого нет, это я комментировал слова передачи информации третьим лицам. Для примера видел когда в юр агенстве в договоре написано, что они могут сами без ведома заказчика принимать решения(действия) по защите прав и интересов заказчика. На деле же они не имеют права только на основании этого договора этого делать, так как нет ни какой доверенности, нотариального удостоверения и т.п., если только для предотвращения преступления, кроме того весь порядок этого процесса прописан в законе и придумывать ни чего нового не надо.

Что будут обрабатывать - заявлено (ВСЁ, ДАЖЕ ТРЕТЬИХ ЛИЦ!).

Обрабатывать это одно, а вот передача конф информации третьим лицам совершенно другое. Но также как я уже сказал, одно дело когда ты пользуешься их сервисом или приложением, другое дело когда им не пользуешься, а оно всё равно собирает информацию о твоей сетевой активности в других приложениях, этого быть не должно.

[Bizdelnick]

Но также как я уже сказал, одно дело когда ты пользуешься их сервисом или приложением, другое дело когда им не пользуешься, а оно всё равно собирает информацию о твоей сетевой активности в других приложениях, этого быть не должно.

Нет такого в соглашении. В любой момент после того, как пользователь с ним согласился, Яндекс считает, что сервисы используются. А что это значит — можно узнать из политики конфиденциальности (точнее, её отсутствия).

В тех случаях, когда Вы осуществляете вход в свою учетную запись, Персональная информация, собранная о Вас Яндексом во время использования Вами Сайтов и Сервисов, может быть сопоставлена и связана с другой Персональной информацией, собранной Яндексом в рамках использования Вами Вашей учетной записи (например, данные о Вашей личности, контактные данные, возраст и пол, если они были предоставлены Яндексу).

Яндекс может собирать следующие категории Персональной информации о Вас во время использования Вами Сайтов и Сервисов:

(i) Персональная информация, предоставленная Вами при регистрации (создании учетной записи), такая как Ваше имя, номер телефона, адрес и возраст;

(ii) электронные данные (HTTP-заголовки, IP-адрес, файлы cookie, веб-маяки/пиксельные теги, данные об идентификаторе браузера, информация об аппаратном и программном обеспечении, данные сети wi-fi);

(iii) дата и время осуществления доступа к Сайтам и/или Сервисам;

(iv) информация о Вашей активности во время использования Сайтов и/или Сервисов (например, история поисковых запросов, данные о покупках в Сервисах, данные о посещенных организациях, лайки и предпочтения, адреса электронной почты тех, с кем Вы ведете переписку, данные телефонной книги, информация о взаимодействии с другими пользователями, а также файлы и контент, хранящиеся в системах Яндекса);

(v) информация о геолокации;

(vi) иная информация о Вас, необходимая для обработки в соответствии с условиями, регулирующими использование конкретных Сайтов или Сервисов Яндекса;

(vii) информация о Вас, которую мы получаем от наших Партнеров в соответствии с условиями соглашений, заключенных между Вами и соответствующим Партнером, и соглашений, заключенных между Яндексом и Партнером;

(viii) данные Ваших платежных карт, иная платежная информация, предоставленная Вами, а также полученная от Партнеров или иных лиц, участвующих в проведении платежной операции с использованием Сайтов или Сервисов Яндекса и/или в связи с оказанием Яндексом платных услуг.

Также Яндекс использует файлы cookie и веб-маяки (включая пиксельные теги) для сбора Персональной информации и связывания такой личной информации с Вашим устройством и веб-браузером (см. раздел 11 настоящей Политики).

[ormorph]

В любой момент после того, как пользователь с ним согласился, Яндекс считает, что сервисы используются. А что это значит — можно узнать из политики конфиденциальности (точнее, её отсутствия).

Считать он может что угодно, но использовать информацию он может только в рамках своего сервиса, для улучшения и т.п.. Как я уже сказал что договор не может противоречить закону и у нас уже нет верховенства международного права над родным законом. Т.е. они даже не имеют право требовать условия, которые противоречат закону. Это называется превышением должностных полномочий. А то можно сказать что раз у меня стоит приложение от Yandex он имеет право перехватывать сетевую информацию когда я пользуюсь моб приложением от Сбербанка и осуществляю платежи, это полная чушь.

[Bizdelnick]

использовать информацию он может только в рамках своего сервиса, для улучшения и т.п.

Что он в правилах прописал, для того и может использовать после получения согласия.

они даже не имеют право требовать условия, которые противоречат закону

Не имеют. Но у них ничего и не противоречит. Думаете, у них плохие юристы работают? Сомневаюсь.

А то можно сказать что раз у меня стоит приложение от Yandex он имеет право перехватывать сетевую информацию когда я пользуюсь моб приложением от Сбербанка и осуществляю платежи, это полная чушь.

Ну если они договорятся со сбером о таком, то, в принципе, да.

[ormorph]

Не имеют. Но у них ничего и не противоречит. Думаете, у них плохие юристы работают? Сомневаюсь.

Так я и сказал что то что у них написано не противоречит. Но та информация что в данной теме, вполне может означать что они полностью игнорят свои же условия. Вроде как каждый сайт является отдельной организацией, по этому сбор куков и т.п. является как раз нарушением. Договариваться можно, но нужно знать меру.

[Bizdelnick]

Вроде как каждый сайт является отдельной организацией

Во-первых, речь не о каждом сайте, а о тех, которые сами встроили Метрику. Во-вторых, Метрика — тоже сервис Яндекса, с передачей которым (всем скопом, а не по отдельности) своих данных пользователь согласился. Так что формально всё соответствует написанному.

[ormorph]

Во-первых, речь не о каждом сайте, а о тех, которые сами встроили Метрику.

Я говорю конкретно про это:

Мобильные приложения запускали отдельные обработчики соединений на локальном сетевом интерфейсе (127.0.0.1), принимающие запросы по протоколам HTTP, HTTPS, WebSocket и WebRTC.

Тут назначение этого весьма спорное.

[Bizdelnick]

Я говорю конкретно про это

И я про это. Кто кроме Метрики будет сливать данные на локалхост?

[ormorph]

И я про это. Кто кроме Метрики будет сливать данные на локалхост?

Так вот звучит как то неоднозначно, либо висит на одном из портов 127.0.0.1, через него и управление, либо слушает все порты на 127.0.0.1. Тут тоже можно тогда встречный вопрос задать, а зачем на локальном интерфейсе прослушивать HTTPS, т.е. ещё работать с сертификатами, которые нужно ещё как то проверять?

[/dev/random]

Так вот звучит как то неоднозначно, либо висит на одном из портов 127.0.0.1, через него и управление, либо слушает все порты на 127.0.0.1.

"Слушать все порты" может только рут. Так что никаких неоднозначностей.

Приложения просто висят на каком-нибудь порту на 127.0.0.1, к которому потом подключается скрипт метрики, чтобы идентифицировать устройство пользователя, даже если он вышел на сайт в приватном режиме или блокирует сторонние куки. Это нагло и неэтично, но абсолютно легально.

[ormorph]

Это нагло и неэтично, но абсолютно легально.

Получается андроид дырявое корыто. Тут уже последние обновления не дают записывать свои же звонки, раньше работало а теперь нет. А тут яндекс всех сделал, теперь и за него могут взяться, перекрыть этот доступ.

[/dev/random]

Получается андроид дырявое корыто.

А при чём здесь андроид? Это в браузерах блокировать надо. Андроид всё делает так же, как и все остальные системы: любое приложение с доступом к сети может поднять сервер на локалхосте, и любое другое приложение с доступом к сети может к этому серверу подключиться.

[ormorph]

Это в браузерах блокировать надо.

Хм, а пример можно как это через браузер запустить сервер. Это получается дыра в самом браузере, раз позволяет на клиенте запускать сервер через JS. Я просто и примеров таких не видел, а тут какой то хакинг.

[/dev/random]

Хм, а пример можно как это через браузер запустить сервер.

Через какой такой браузер? Приложение запускает сервер. Любое яндексовское приложение, установленное пользователем на телефон. Метрика в браузере к нему подключается.

[ormorph]

Через какой такой браузер? Приложение запускает сервер. Любое яндексовское приложение, установленное пользователем на телефон. Метрика в браузере к нему подключается.

А говорите что Android не дырявая. На обычном десктопе нет надобности запускать приложение с сервером, если можно зайти под браузером. Правда я незнаю другого способа подключиться иначе как перебором портов. Получается так можно проверить, если запущен какой нибудь http прокси на локалхосте. Не очень то надёжное решение, но такие действия больше похожи на хакинг, чем на что то законное.

[/dev/random]

На обычном десктопе нет надобности запускать приложение с сервером, если можно зайти под браузером.

На телефоне тоже можно не устанавливать. А на десктопе - установить. У яндекса и десктопные приложения есть. Всё, надоело вам объяснять, складывается ощущение, что вы просто притворяетесь, что не понимаете, чтобы поспорить. Ухожу из темы.

[ormorph]

На телефоне тоже можно не устанавливать. А на десктопе - установить.

При всём желании я у себя не могу такое установить.

Shell

$ flatpak search yandex

Имя Описание
Яндекс.Браузер Веб-браузер от компании Яндекс
Dialect Translate between languages
Кассета Неофициальный клиент Яндекс Музыки
Crow Translate Application that allows you to translate and speak text using Mozhi
S3Drive Convert S3, SFTP, WebDAV or Rclone back-end into your encrypted storage

Так что ни чего такого у меня нет для Linux и не доступно, тем более того, что запускает сервер.

Всё, надоело вам объяснять, складывается ощущение, что вы просто притворяетесь, что не понимаете, чтобы поспорить. Ухожу из темы.

Просто пытаюсь понять. Само собою что что то да понимаю, но всё равно такое решение Яндекса мне не очень нравится. Если это позволяет читать с локалхоста, то что мешает туда и писать, так же как использовать для управления ПО, если сервер поддерживает это через запросы.

[Bizdelnick]

последние обновления не дают записывать свои же звонки, раньше работало а теперь нет

Это всегда работало только на некоторых прошивках. В зависимости от законодательства стран, для которых она предназначена, и степени перестраховки производителя.

На обычном десктопе нет надобности запускать приложение с сервером, если можно зайти под браузером. Правда я незнаю другого способа подключиться иначе как перебором портов. Получается так можно проверить, если запущен какой нибудь http прокси на локалхосте.

Да прочитайте уже наконец новость, там всё подробно описано. Если что-то останется непонятно, сходите по ссылке на первоисточник.

[ormorph]

Это всегда работало только на некоторых прошивках. В зависимости от законодательства стран, для которых она предназначена, и степени перестраховки производителя.

На старых которые мне попадались всё это работало, перестало работать уже на новых. При чём был момент когда почти у всех не работало, а у меня работало, ну а потом и у меня с обновлением это перекрыли. Но это было давно и уже неправда...

Да прочитайте уже наконец новость, там всё подробно описано. Если что-то останется непонятно, сходите по ссылке на первоисточник.

Да в курсе я что там всё красиво написано и придраться не к чему, просто говорю что вариантов как нагадить пользователю довольно много. У меня как то же активировалось само Mir Pay и пыталось сделать проплату. Когда я не слухом не духом об этом и от телефона был на приличном расстоянии и подошёл к телефону только тогда, когда было звуковое уведомление о неудавшейся операции. Просто может быть много закладок, которые могут активироваться при определённых условиях и действиях.

[Aliech]

Просто может быть много закладок, которые могут активироваться при определённых условиях и действиях.

Ах если бы там были лишь они! А ведь у вас на телефоне легко может собраться "бинго" из просто абы как спроектированного софта.

[ormorph]

Ах если бы там были лишь они! А ведь у вас на телефоне легко может собраться "бинго" из просто абы как спроектированного софта.

Ну что бы запустить приложение при отключенном NFC, это нужно иметь очень абы как спроектированный софт, при чём намеренно. А так всё ставил через оф установки, без непроверенных источников. Так что это всё очень странно. А так приложений не так много у меня и не сильно я помешан на мобиле.

[Aliech]

А так приложений не так много у меня и не сильно я помешан на мобиле.

В условиях поставки каждым производителем нескучного софта собственной разработки, я лично сильно напрягаюсь и ищу, как бы вкорячить что-то близкое к AOSP на трубку сразу же. Потому что, ещё в далёком 2013ом, когда нескучная экранная клавиатура имени Samsung'а, находясь в фоне, умудрялась уменьшать время автономности сразу так на пятую часть... И это Samsung. Не самое дно, если по нынешним временам.