|
ChMkK2g_rYWINWW6AAD6dpsj9KcAAtMygGrfaAAAPqO725.jpg
近日,有研究人员披露,两家科技公司通过在大量网站中嵌入追踪代码,绕开了安卓系统和浏览器的隐私保护机制,持续追踪安卓用户的活动。
据报告,其中一家公司在全球约580万个网站中部署了其网页分析工具,另一家则在约300万个网站中使用了类似的追踪服务。这些追踪器利用了现代移动浏览器的核心功能,绕过了安卓系统的“沙箱”隔离机制。正常情况下,沙箱机制可以阻止应用程序与操作系统或其他应用交互,从而保护用户的敏感信息不被随意访问。
研究发现,这两家公司通过网页浏览器与安装在设备上的原生应用之间的本地通信通道,将用户在网页端的行为与其真实身份关联起来。这使得本应匿名的浏览行为变得可识别,打破了移动端与网页端之间的安全边界。
研究人员指出,这种技术自2017年起就被用于某种形式的数据追踪,而另一家公司则从2024年9月开始采用类似机制。该机制依赖于浏览器向本地端口(例如 127.0.0.1)发送请求的功能,将特定的追踪标识符传递给正在监听该端口的本地应用,从而实现跨平台数据关联。
更进一步,其中一款追踪工具还使用了如 WebRTC 和 SDP 修改等复杂手段,将追踪数据隐藏在协议字段中,以避开常见的安全检测措施。
相比而言,iOS 系统对本地通信的控制更为严格,而安卓系统由于其相对开放的设计以及后台任务执行机制,为这种行为提供了可能性。相关机构表示,此类做法违反了平台的服务条款,并不符合用户对隐私保护的合理预期,目前已有应对措施并展开进一步调查。
研究人员同时警告称,目前所采取的修复方式具有针对性,如果追踪方更换端口或改变方法,当前的防护可能失效。他们建议,应从操作系统层面加强对本地端口访问的限制,以防止类似行为再次发生。 | 
