Istraživači su otkrili da Meta i Yandex koriste kod za praćenje koji se ugrađuje u milijune web stranica kako bi deanonimizirali posjetitelje, zlorabeći legitimne internetske protokole. Ovo uzrokuje da Chrome i drugi preglednici tajno šalju jedinstvene identifikatore aplikacijama instaliranim na uređaju. Google je najavio da istražuje ovu zloupotrebu koja omogućuje Meti i Yandexu da konvertiraju prolazne web identifikatore u trajne identitete korisnika mobilnih aplikacija.
Ova tajna praksa praćenja, koja se provodi putem Meta Pixela i Yandex Metrica, omogućuje tvrtkama da zaobiđu osnovne sigurnosne i privatne zaštite koje pruža Android operativni sustav. Na primjer, Android sandboxing izolira procese kako bi spriječio interakciju s OS-om i drugim aplikacijama, čime se onemogućava pristup osjetljivim podacima. Ova zloupotreba se primjećuje isključivo na Androidu, dok istraživači navode da Meta Pixel i Yandex Metrica ciljaju samo korisnike Androida.
Narseo Vallina-Rodriguez, jedan od istraživača, rekao je: „Jedno od temeljnih sigurnosnih načela na webu, kao i u mobilnom sustavu, naziva se sandboxing. Ono omogućuje da se sve odvija unutar sandboxa bez interakcije među različitim elementima. Ovaj napad omogućuje kršenje sandboxa između mobilnog i web konteksta.”
Meta i Yandex su započeli ovu zloupotrebu kako bi slali kolačiće ili druge identifikatore iz preglednika Firefox i Chromium u nativne Android aplikacije Facebooka, Instagrama i raznih Yandex aplikacija. Na taj način, tvrtke mogu povezati opsežnu povijest pregledavanja s korisničkim računom prijavljenim u aplikaciji.
Meta Pixel i Yandex Metrica su analitički alati koji pomažu oglašivačima da mjere učinkovitost svojih kampanja, a procjenjuje se da su instalirani na 5,8 milijuna, odnosno 3 milijuna web stranica.
Kao odgovor na ovu situaciju, Google je izjavio da ponašanje krši uvjete korištenja njegove Play trgovine. Meta je priznala problem i trenutno pregovara s Googleom kako bi se razjasnila potencijalna nesporazuma vezana uz primjenu njihovih pravila. Yandex je također rekao da prekida ovu praksu i naglasio da strogo poštuje standarde zaštite podataka.
Istraživači su ukazali na to da trenutne mjere zaštite koje su implementirali preglednici poput DuckDuckGo, Brave i Vivaldi funkcioniraju, ali bi mogle postati neučinkovite u bilo kojem trenutku. Naglasili su potrebu za dugoročnim rješenjem koje bi uključivalo restrikcije pristupa lokalnim portovima na mobilnim platformama i preglednicima, kako bi se spriječile zloupotrebe poput ove.
