Meta與Yandex遭爆暗中竊取使用者瀏覽隱私

國際研究團隊最新發現，Meta與俄羅斯科技巨頭Yandex涉嫌透過Android系統漏洞，未經授權蒐集使用者瀏覽紀錄。研究顯示，包括Facebook、Instagram及Yandex旗下地圖、導航、瀏覽器等應用程式，竟在手機背景默默監聽特定通訊埠，藉此破解使用者匿名瀏覽行為。

更令人震驚的是，Meta的Pixel與Yandex的Metrica追蹤程式碼已植入數百萬網站，直接將Android使用者的瀏覽習慣與登入帳號繫結。這種手法不僅繞過Android許可權管控，連瀏覽器的無痕模式也形同虛設，影響所有主流Android瀏覽器使用者。

參與研究的IMDEA Networks團隊成員Aniketh Girish博士候選人解釋：「Meta透過WebRTC技術將瀏覽器識別碼傳給旗下App，再悄悄回傳伺服器；Yandex則採用被動監聽模式，結合手機廣告ID建立完整使用者畫像。」研究團隊已通報各大瀏覽器廠商，Chrome等瀏覽器即將推出防堵機制。

據統計，全球約有580萬網站安裝Meta Pixel，300萬網站使用Yandex Metrica，受影響使用者數量相當可觀。特別值得注意的是，目前僅在Android系統發現此類追蹤證據。

研究人員Nipuna Weerasekara揭露：「Yandex應用程式竟會延遲三天才啟動監聽功能，這種設計疑似為躲避審查。更可怕的是，它們能即時變更通訊埠設定，讓瀏覽器的防堵措施失效。」

主導研究的IMDEA Networks副教授Narseo Vallina-Rodríguez強調：「根本問題在於現代系統對本機通訊缺乏管控。在我們揭發前，使用者對這種追蹤完全束手無策。」他建議平臺業者必須重新設計本地端通訊許可權機制，同時避免影響正當用途。

更令人氣憤的是，Meta與Yandex從未向網站經營者或終端使用者說明這種追蹤行為。Radboud大學助理教授Gunes Acar指出：「Meta不僅隱瞞這種跨平臺追蹤技術，甚至對網站主的投訴置之不理。這種行為出現在服務全球數十億使用者的企業，實在令人難以置信。」

目前唯一自保方式就是避免安裝相關應用程式。所幸在研究團隊揭露後，Chrome與DuckDuckGo等瀏覽器已迅速推出修補程式。

[end]