Meta тихо слушает ваш браузер — даже когда вы в режиме инкогнито

Группа ученых выявила необычную схему слежки , позволявшую привязывать анонимную веб-активность к конкретным пользователям мобильных приложений. Исследование показало, что компания Meta* использовала свои Android-приложения для сбора данных о действиях пользователей в браузерах, обходя привычные ограничения системы конфиденциальности.

Техника основана на использовании внутреннего сетевого интерфейса устройства — так называемого localhost, или loopback-адреса, по которому устройство может отправлять сетевые запросы самому себе. Обычно этот механизм применяется разработчиками для локального тестирования веб-серверов, но в данном случае был превращён в инструмент слежки.

Мобильные приложения Facebook и Instagram* открывали на устройстве определённые TCP- и UDP-порты — конкретно TCP 12387 или 12388, и один из свободных в диапазоне UDP 12580–12585. При этом, даже если приложение находилось в фоне, оно продолжало слушать трафик, ожидая подключения со стороны браузера. Когда пользователь открывал сайт с внедрённым Meta Pixel — скриптом, который используется для аналитики и отслеживания пользовательских действий, — он запускался в браузере и устанавливал соединение с приложением через WebRTC-соединение с модифицированным SDP.

Через такое соединение скрипт передавал приложению cookie с идентификатором _fbp, а также дополнительную информацию, включая адрес страницы, метаданные браузера и тип события — например, просмотр страницы, нажатие на кнопку покупки или донат. Параллельно скрипт отправлял эти же данные на сервер https://www.facebook.com/tr . Получив _fbp, мобильное приложение пересылало его на сервер GraphQL по адресу https://graph.facebook.com/graphql , добавляя туда и другие постоянные идентификаторы пользователя, хранящиеся в приложении. В результате происходила связка веб-активности и конкретного аккаунта в Facebook или Instagram.

Этот механизм позволял обходить стандартные меры защиты конфиденциальности: очистку cookie, режим инкогнито в браузере и систему разрешений Android. Всё это происходило без ведома пользователя и без дополнительного согласия, несмотря на наличие формальных баннеров с согласием на сайтах. Более того, такая схема разрушала фундаментальное допущение о «песочнице» cookie: по умолчанию предполагается, что сторонние скрипты не могут отслеживать действия одного и того же пользователя на разных сайтах, если браузер регулярно очищает cookie. Здесь же такая связка становилась возможной.

По данным авторов, передача данных с использованием HTTP началась в сентябре 2024 года, что вызвало обсуждение среди сторонних разработчиков, работающих с API Meta. Уже в октябре HTTP был заменён на более сложные протоколы: WebSocket, WebRTC STUN с ручной модификацией SDP и WebRTC TURN. Тем не менее, наблюдение за поведением скриптов позволило исследователям зафиксировать, что 3 июня 2025 года в 7:45 по центральноевропейскому времени Pixel Meta полностью прекратил отправку данных на localhost. Код, отвечающий за передачу _fbp, практически исчез из скриптов.

Meta, по её словам, временно отключила функцию после того, как получила сигналы о возможном нарушении правил Google Play, запрещающих скрытый сбор данных. Представители компании подтвердили, что ведут переговоры с Google о «недопонимании» применения политик, но не стали уточнять детали.

Исследователи также сообщили о ряде технических предложений, направленных на устранение подобных атак в будущем. Например, Google рассматривает возможность внедрения отдельного разрешения на доступ к локальной сети, чтобы заблокировать попытки прослушивания localhost в обход системы разрешений Android. Предыдущие попытки реализовать такую политику столкнулись с техническими трудностями.

Некоторые браузеры уже приняли меры. Chrome версии 137, вышедший 26 мая 2025 года, включает экспериментальную защиту от модификации SDP, хотя пока она доступна лишь ограниченному числу участников полевого тестирования. Firefox работает над внедрением аналогичной защиты. Браузер Brave оказался защищённым от подобных атак по умолчанию, поскольку требует явного согласия на использование localhost. DuckDuckGo внёс скрипты в чёрный список.

Команда исследователей подчёркивает, что обнаруженная техника позволяет создавать новые пути для нарушения конфиденциальности пользователей в обход привычных барьеров и требует более строгого контроля на уровне ОС и браузеров.

* Компания Meta и её продукты (включая Instagram, Facebook, Threads) признаны экстремистскими, их деятельность запрещена на территории РФ.