ハクソク

世界を動かす技術を、日本語で。

MetaがInstagramとFacebookを通じてAndroidユーザーを「密かに追跡」していることを発見

355日前原文(news.sky.com)

概要

  • MetaとYandexがAndroidユーザーのブラウザ活動を 秘密裏に追跡 していたという指摘
  • 追跡はユーザーの 同意なし に行われ、プライバシー懸念が浮上
  • Googleはこの行為が セキュリティ原則に違反 していると認めた
  • Metaは問題解決のため 機能停止、Yandexは 違反を否定
  • FirefoxやDuckDuckGoなど 他のブラウザも影響 を受けた

MetaとYandexによるAndroidユーザーの秘密追跡

  • Radboud UniversityおよびIMDEA Networksの 研究者による発見
  • Meta(Facebook、Instagram)やYandex(Yandex Mapsなど)の アプリがバックグラウンドで動作
  • ユーザーの 同意なしにブラウザ活動を追跡
  • スクリプトがAndroidの セキュリティ制御を回避 し、アプリにデータを送信
  • Webブラウジングとモバイルアプリ活動の データを橋渡し
  • ユーザーが シークレットモード を利用していても追跡可能
  • 主要なAndroidブラウザ(Firefox、Microsoft Edge、DuckDuckGoなど)も 影響範囲
  • 研究者によると、Metaは 約8ヶ月間、Yandexは 2017年から 追跡活動を実施
  • FacebookはEUからのアクセスで 約16,000サイト、Yandexは 1,300サイト で追跡

各社・関係者の反応

  • Googleは「 意図しない方法でAndroidの機能が悪用 された」とコメント
  • Metaは「 Googleとの誤解を解消するため協議中」「問題発覚後に機能を一時停止」
  • Yandexは「 データ保護基準を遵守」「当該機能は 個人情報を収集せず、パーソナライズ目的のみ」
  • Googleは「 侵害的な技術を緩和するための変更を実施」「独自調査を進行中」
  • MozillaやDuckDuckGoのエンジニアも 追跡防止策を実装

プライバシーとセキュリティへの影響

  • ブラウザやモバイルプラットフォームの プライバシー制御が無効化
  • ユーザーの 行動追跡リスク の増大
  • プライバシー保護技術の 信頼性への疑念

今後の対応・動向

  • Googleによる 追加調査と対応策
  • MetaとYandexの 今後の運用方針の注視
  • 他ブラウザによる 対策強化の動き
  • ユーザー側の プライバシー意識向上 の重要性

Hackerたちの意見

ディスカッション (447ポイント, 1日前, 302コメント) https://news.ycombinator.com/item?id=44169115

ありがとう!マクロ拡張:Androidでのローカルホストを介した隠れたウェブからアプリへの追跡 - https://news.ycombinator.com/item?id=44169115 - 2025年6月(308コメント) メタ、研究者が問題を指摘した後、Androidでのモバイルポート追跡技術を一時停止 - https://news.ycombinator.com/item?id=44175940 - 2025年6月(26コメント)

if (cookies.accepted) { trackUser(); } else { trackUserAnyway(); }

else { trackUserCovertly(); }

最近、ウェブサイトがこのシンプルな「クッキーを受け入れる」ボタンをどう扱ってるか見てみたんだけど、君の例みたいにやってるところが多かった。でも、もっとこういう感じだったよね {trackUser(); } else {trackUser(); } その効果はポップアップを閉じるだけだった。市販のクッキー同意ライブラリの中には、実際のクッキーをオフにする機能を持ってないものもあるみたい。

これはコンピュータ詐欺および悪用防止法の違反になるのかな?サンドボックスを抜け出して他のアプリのデータを見てるから、そう思うんだけど。他のケース(例えば、クラウドプロバイダーのVMから抜け出すこと)も明らかに違反だし。大企業が個人に対して法を犯すのを見ても、個人が同じことをするよりは悪くないって考える人もいるけど、それはおかしいよね。むしろ、前者の方がスケールの可能性がある分、より有害だと思う。

君の意見には賛成だよ。ただ、判決が出るのを待ってる間に息を止めるのはやめた方がいいね。

「サンドボックスから抜け出す」ってのが実際に起きてることかどうか、ちょっと曖昧だよね。誰もこんなことが起こるとは思ってないけど。機能自体は知られてるし、ほとんどの人が望んでることだよね。* アプリがデバイス上でローカルのTCP/UDPポートを開いて、お互いに通信できるのはいいことだと思う。これは価値のある機能だし、共有ストレージへのアクセスと同じくらい大事だよ。アプリが漏らしたくない情報は漏れないしね。* アプリは実行中のデバイスのユニークなフィンガープリントを取得できる。これも望まれてることだよね。バックエンドは誰と話してるのか知りたいし、MitMやハイジャックされたアカウントじゃないってことを確認したいから。* ブラウザもそのローカルサーバーと通信できる。これも便利だと思う。ネイティブアプリがウェブアプリにはない機能を持ってる限り、それをウェブAPIの拡張として提供できるべきだよね。要するに、FacebookのネイティブアプリがFacebookのウェブアプリ(というか、Facebookのパートナーサイトから配信されるFacebookのウェブコード)に対して、どのマシンで動いてるかを教えてるってことだよね(ユーザーアカウントのクッキーとか、履歴に関する詳細も含めて)。これはユーザーがパートナーサイトに自分について何を保存するか期待していたことに反してる。これが問題なんだよね。でも、私が見る限り、デバイスのセキュリティの問題ではないと思う。Facebookはクッキー追跡ルールの精神を破ったけど、法律には触れてない。

どうしてそう思うのか分からない。彼らがやってることはOSによって明示的に許可されてることだよ。もし違反があるとしたら、それはプライバシーやデータ収集の法律に関することだね。

いや、そういう法律は一般的に所有者層には適用されないよ。

この質問でWikipediaを調べてたら、新しい用語を見つけたんだ。「オルガニカル・カルチュラル・ディビアンス」ってやつ。>「オルガニカル・カルチュラル・ディビアンスは、企業犯罪を逸脱行為につながる社会的、行動的、環境的プロセスの一体として見る最近の哲学モデルです。」>「これは、企業文化が広い社会で正常または受け入れられていることとは異なる逸脱行為を奨励または受け入れる可能性があるという見解を反映しています。」 つまり、Facebookがやってることが犯罪かどうかは別として、彼らは自社の文化がそれをやってもいいと根本的に信じているからやってるんだよね。社会全体が同意していなくても。それが組織に対して刑事告発をする正当化になる。組織の文化が犯罪行為を助長するから、組織自体が告発されて、必要なら解散(企業の死刑)されるべきなんだ。

メタのアプリがメタのクライアントライブラリと通信して、メタ由来のクッキーを送信しているようだね。クッキー同意の観点から見ると、これはJavaScriptをホストしてクッキーを使用しているファーストパーティにのみ適用されるべきなんだけど、メタ広告クライアントにとってもそれは正しい。つまり、悪意のある行為者の主張は、メタが多くのファーストパーティ(メタの顧客)から広範にデータを収集しているってことだけど、彼らはそれを持っているんじゃないの?もし二つのファーストパーティが互いのユーザーデータを知ることを許可していないなら、法律の枠組みに沿っているんじゃないの?

もしこれらのサービスを使わなきゃいけないなら、彼らのウェブサイトを使った方がいいよ。UXは悪くなるけど、少なくとも私にとっては、使う頻度が減るからそれがメリットになる。

最近のサービスの問題は、ウェブサイトがモバイルアプリの機能のほんの一部しか提供してないことだよね。誰か、AndroidアプリからのAPIコールを監視するまともな方法を知ってる人いる?ウェブアプリでは使えないエンドポイントを確認したいんだけど。

Facebookは多くのAndroid端末にルートキットをインストールして、デバッグレベルのシステムログをFacebookに送信する能力を持ってたんだ。たとえそのアプリをインストールしてなくてもね。そのデータは、あなたがスマホでやってることを全て追跡するために使える。これを発見したのは、私が最初に再現して証明した時で、オランダのCOVID接触追跡アプリをテストしている時だった。その時、Googleはメインシステムログにシードを記録してたんだ。それによって、ログにアクセスできる人はGAENフレームワークをインストールした全てのAndroidユーザーのリアルタイムマップを作ることができた。追記:アプリの停止に関するプレスリリースの英語版はこちらだよ:https://nltimes.nl/2021/04/29/coronamelder-app-taken-offline... Facebookがインストールされていないシステムにアクセスする方法について詳しく書かれた論文はこちら:https://arxiv.org/pdf/1905.02713

あなたの証拠は、余白に収まらなかったのかな?

これってまだ続いてるの?論文をざっと読んだけど、主要なハードウェアベンダーがAndroidデバイスに(時には非公開の)ライブラリをプリインストールして出荷しているという主張があるのかな(例えばメタからの)。それが広範なデータアクセス権限を持っていて、敏感なワイヤー/RESTデータを復号化する能力も含まれているってこと?それを今もやってるの?

こういうことがあるから、私は「リワードポイント」とかをもらうために、あちこちの会社のアプリをインストールする気にならないんだよね。セキュリティは完璧じゃないし、明らかに追加のデータが欲しいんだから、なんでわざわざ電話アプリを使う必要があるの?

アプリのことは忘れて、あなたの主要なブラウザは、訪問しているページにJSがある誰でもあなたのローカルネットワークのポートを開けることを許可してるよ。その機能はこれらのトラッカーによって使われたけど、それ自体がひどいセキュリティ侵害だよね。

近所の人が電話の修理を頼んできたんだけど、彼が毎分全画面の広告が出てくるのに気づいたんだ。通話を切ることも、911に電話することも、テキストを送ることもできなかった。調べたら、「7 Min Workouts」ってアプリが広告をスパムしてたんだ。すごいよね。

これらのアプリがブラウザの活動をどうやって追跡していたのか、わかる?記事にある手がかりは、ウェブサイトごとに行われていたことと、シークレットモードでも機能していたことだけなんだ。特に、Googleも責任があるのか気になる。これは既知の問題で、誰も実際には悪用しないだろうと思ってたのか、それとも最近発見された微妙なバグだったのか?どちらにしても、これは大きなセキュリティの脆弱性だよね。

ウェブサイトのオーナーがページに埋め込んだ分析スクリプトを使ってるんだよ。集めたデータをfacebook.comにアップロードする代わりに、そのスクリプトがlocalhost:5678に送信して、Facebookアプリがそのポートをリッスンしてたってこと。

これらのアプリがブラウザの活動をどうやって追跡していたか知ってる?記事にある手がかりは、ウェブサイトごとに行われていて、シークレットモードでも機能していたってことだけだね。アプリはバックグラウンドでlocalhost:xxyyzzをリッスンしてる。ブラウザを開いてonesite.comに行って、次にdifferentsite.comに行くと、その二つのサイトでのあなたのIDが、Facebook機能や広告をサポートするJSがそれぞれのサイトにあって、ブラウザで実行されて、ローカルホストのアセットにリクエストを送ることで伝達されるんだ。アプリはその引数を受け取って、HQに送信する。それで、アプリにサインインしているアカウントが、この機能を使っているすべてのウェブサイトでの活動に結びつくんだ。ちなみに、FBピクセルの呼び出しは、「チェックアウト」「ただ見てる」「寄付」などの「イベント」でタグ付けされてる。確かではないけど、シークレットモードにいるってことはデータ報告の一部だと思う。何もそれを止めるものはないよ。

こういうの、どこにでもあるよね。iOSも同じことしてるし。アプリをインストールすると、そのURLのディープリンクを許可するんだ。例えば、Amazonのアプリをインストールすると、スマホに表示されるどんなAmazonリンクも(メッセージ、メール、ブラウザなど)そのアプリでキャッチできるんだよね。位置情報サービスでも同じようなことができると思う。店舗のアプリは、店内でiBeaconを使って細かいBluetooth位置情報を取得できるし。クロスアプリケーショントラッキングの最先端はよくわからないけど、複数のアプリに追加されたSDKが同じようなことをできるはず。数年前、アプリのインストールをやめちゃったんだよね。

これを一般の人にどう説明する?メタがAirBnBのホストに無料のトースターをプレゼントするようなもんなんだけど、実はそのトースターには隠れたマイクとインターネット接続があって、ゲストの会話を全部聞いて、それをメタに送信してるって感じ。