Säkerhetsforskare har hittat kod som identifierar, avanonymiserar, användare ute på nätet genom att missbruka legitima internetprotokoll, vilket får Chrome och andra webbläsare att i smyg skicka unika identifierare till appar som är installerade på en enhet, har forskare upptäckt.

Google säger att de utreder missbruket, vilket gör det möjligt för Meta och Yandex att konvertera kortlivade webbidentifierare till beständiga användaridentiteter för mobilappar – vilket gäller operativsystemet Android (inte Apples iOS).

Spårningen

Den hemliga spårningen – som finns i Meta Pixel och Yandex Metrica – gör det möjligt för Meta och Yandex att runda säkerheten och det integritetsskydd som tillhandahålls av Android och webbläsare som används. Det som kallas sandboxing isolerar till exempel processer för att förhindra att de interagerar med operativsystemet och andra appar som är installerade på enheten, vilket avbryter åtkomst till känsliga data eller privilegierade systemresurser.

”En av de grundläggande säkerhetsprinciperna som finns på webben, såväl som i mobila system, kallas sandboxing. Du kör allt i en sandlåda, och det sker ingen interaktion mellan olika element som körs på den. Det denna attackvektor tillåter är att bryta sandlådan som finns mellan mobilkontexten och webbkontexten. Den kanal som finns gjorde det möjligt för Android-systemet att kommunicera vad som händer i webbläsaren med identiteten som körs i mobilappen.”

Det säger Narseo Vallina-Rodriguez, en av de forskare som upptcäkt Metas och Yandex hemliga koda.

Cookies

Förbikopplingen – som Yandex började att använda 2017 och Meta i september förra året – gör det möjligt för företagen att skicka cookies eller andra identifierare från Firefox- och Chromium-baserade webbläsare till inbyggda Android-appar för Facebook, Instagram och olika Yandex-appar. Företagen kan sedan koppla den omfattande webbhistoriken till kontoinnehavaren som är inloggad i appen.