ハクソク

世界を動かす技術を、日本語で。

「ローカルホストトラッキング」の解説:Metaに320億ユーロの損失をもたらす可能性

349日前原文(zeropartydata.es)

概要

  • MetaがAndroidのサンドボックス保護を回避し、VPNやプライベートモードでも個人識別を可能にした手法の解説
  • GDPR、DSA、DMAの各規制に同時違反し、最大約320億ユーロの罰金リスク
  • Meta Pixelとアプリ間の隠れた通信による個人情報の結合
  • 世界の主要ウェブサイトの22%が影響を受け、数十億人のユーザが対象
  • 技術的詳細と法的リスクのポイントを簡潔に整理

Metaの「localhost tracking」:Androidサンドボックス回避の仕組み

  • Meta(Facebook/Instagram)は Androidのサンドボックス機能 を回避し、 ユーザ識別 を可能にした独自追跡システム「localhost tracking」開発
  • この手法は、 VPN利用、ブラウザのプライベートモード、Cookie拒否や削除 を行っても個人の特定を実現
  • Meta Pixelを埋め込んだウェブサイトを訪問するだけで、 ブラウザの行動履歴 がアプリの アカウント情報 と結合される

追跡の技術的流れ

  • Facebook/Instagramアプリが バックグラウンドでTCP/UDPポートを開放 し、ローカル通信を待機
  • ブラウザでMeta Pixel搭載サイトを訪問すると、Pixelスクリプトが WebRTC(SDP Munging) を使い、 _fbpクッキー情報 をアプリへ送信
  • アプリは受信した_fbpを自身の ログインアカウント情報 と組み合わせてMetaサーバへ送信
  • 結果として、 ブラウザの匿名行動実名アカウント が密接にリンクされる

Android設計の抜け穴

  • 通常、Androidは アプリ間のローカル通信 を制限
  • MetaはWebRTCの仕様を悪用し、 サンドボックスの壁を突破
  • アプリを開いていなくても、 バックグラウンドで常時リスニング 状態

追跡が及ぼす影響

  • 世界の主要ウェブサイトの 22% がMeta Pixelを導入、 数十億ユーザ が対象
  • 全ウェブ閲覧履歴、カート投入商品、購入履歴、フォーム入力内容など 詳細な個人行動データ を収集
  • これらが リアルアカウント と結合され、 本人特定 が容易に

法規制とMetaの法的リスク

  • Metaは GDPR(最大4%)、DSA(最大6%)、DMA(最大10%) の各規制に同時違反
  • 理論上の 最大罰金総額は約320億ユーロ (2024年の年間売上1640億ユーロ基準)
  • 各規制のポイント
    • GDPR :個人データ処理の同意義務、データ最小化原則違反
    • DSA :特別カテゴリのデータに基づく広告ターゲティング禁止
    • DMA :明示的同意なしのサービス横断的な個人データ結合の禁止
  • Metaは VLOP(超大規模オンラインプラットフォーム) に指定済み、既にDMA違反で2億ユーロの罰金歴あり
  • ユーザ同意取得の不備(「pay or okay」モデル)も指摘

どのユーザが影響を受けるか

  • Androidスマホで Facebook/Instagramアプリにログイン しているユーザ
  • 同一端末で 任意のブラウザからMeta Pixel搭載サイト を訪問した場合
  • VPN利用・プライベートモード・Cookie削除でも 追跡回避不可
  • iOSユーザ、アプリ未インストール、BraveやDuckDuckGo利用 などは影響を受けにくい

結論と今後の展望

  • Metaの手法は 技術的抜け穴 を突いた極めて悪質なプライバシー侵害
  • 法規制の適用範囲が重複し、 前例のない巨額制裁 の可能性
  • 今後は ユーザの説明責任透明性の確保技術的対策 の強化が急務

Hackerたちの意見

AndroidのスマホにFacebookかInstagramのアプリをインストールしてて、アカウントにログインしてるなら、影響を受けるみたいだね。トラッキングピクセルをブロックする設定をしてないと、特に。VPNやシークレットモードを通過できるのが、これの一番やばいところだと思う。みんなが完全にプライバシーを守れてると思ってるかもしれないけど、実際はそうじゃない。新しいブラウザセッションか別の場所から来てるように見せかける簡単な方法に過ぎないよ。

みんなが完全にプライバシーを守れてると思ってるかもしれないけど、実際はそうじゃない。普通の人にはそうあるべきだと思う。VPNやプライベートブラウジングで、ほとんどの人が使うには十分だよ。ブラウザが密かにスマホのアプリと通信して、すべての行動をその人のアイデンティティに結びつけてるなんて、思わせるのはフェアじゃないと思う。

すごいけど、Metaからだと驚きはないね。こういうことをする歴史があるから。2010年代初頭には、iOS App StoreのHTTPSトラフィックを監視して、どのアプリが人気かを探る方法を見つけたんだ。それでWhatsAppやInstagramが良い買収ターゲットだって分かったんだよね。今のところ、ザッカーバーグにとってのレースは、Metaが次のプラットフォームシフト(ARかVR)まで生き残れるかどうかだと思う。そこで彼らは主要なプラットフォームの一つを持って、広告マシンを支える「インターネットの触手」が切られる前に、合理的なルールに従う必要がなくなるから。俺の予想では、彼らはなんとかなると思う。望んではいないけど、進んでるね。

2010年代初頭には、iOS App StoreのHTTPSトラフィックを監視して、どのアプリが人気かを探る方法を見つけたんだ。彼らは企業証明書を使ってVPNアプリをインストールさせて、App Storeには載ってなかったし、VPNが送るトラフィックをすべて監視してた。今回のケースとは違って、ユーザーはいくつかの面倒な手続きや怖いiOSの警告を乗り越えなきゃいけなかった。それでも多くの人が、ギフトカードやそれ以下のためにやってたんだよね。

彼らがうまくいくとは思わないな。彼らのプラットフォーム、Quest VRは、約2000万台のヘッドセットを売ってる。どの会社も大喜びするけど、ここはFacebookの話だからね。もっとユーザーが必要で、それは爆発的な成長でしか達成できない。だから、もしかして急成長してるの?いや、そうじゃない。2000万台のうち1400万台がQuest 2で、これは9ヶ月前に生産中止になったんだ。現在の製品がベストセラーじゃないのに、爆発的成長って言えるのかな。

企業はAR/VRを次のプラットフォームシフトにしようとしてるけど、実際に人々がこれを望んでるかはあまり確信が持てないな。ニッチなゲームを除けば、あまり需要がないように感じる。俺には、映画の3Dメガネと同じくらいの持続力しかないように思える。

彼らはこういうことをする歴史がある。罰があっても、再犯を思いとどまらせることはできていないから、歴史があるんだ。

前の議論: Androidでのローカルホストを使った隠れたウェブからアプリへのトラッキング(341コメント): https://news.ycombinator.com/item?id=44169115

注:コメント数は議論が続くにつれて増えているかもしれません。ワシントンポストのプライバシーのヒント:Chromeの使用をやめて、Metaアプリ(とYandex)を削除しよう(328コメント) https://news.ycombinator.com/item?id=44210689 MetaがInstagramとFacebookを通じてAndroidユーザーを「密かに追跡」していることが判明(95コメント) https://news.ycombinator.com/item?id=44182204 Metaが研究者の抗議を受けてAndroidでのモバイルポート追跡技術を一時停止(28コメント) https://news.ycombinator.com/item?id=44175940 Androidでのローカルホストを介した密かにウェブからアプリへの追跡(6コメント) https://news.ycombinator.com/item?id=44169314 Androidでのローカルホストを介した密かにウェブからアプリへの追跡(6コメント) https://news.ycombinator.com/item?id=44169314 MetaとYandexがあなたのAndroidウェブブラウジング活動を監視している https://news.ycombinator.com/item?id=44177637 新しい研究がMetaとYandexによるプライバシー侵害を明らかにする https://news.ycombinator.com/item?id=44171535 MetaとYandexがWebRTCを介してAndroidでの追跡データを抽出している(3コメント) https://news.ycombinator.com/item?id=44176697

面白いのは、これを実装したエンジニアは多分ここにいる私たちの一人だってこと。ザックがこれを自分で実装したとは思えないよ。

それがAIの必要な理由だよ。絶対に「ノー」とは言わないから。

ここでエンジニアが自分たちが取り組むべき道徳や倫理を考えるべきだと提案すると、コメントで反発が多いよね。「かっこいい技術に取り組みたいだけなんだ!それをどう使うかは会社の問題だ!」とか「俺はただのコードモンキーだから、俺を責めないで!マネージャーがTorment Nexusを作れって言ったら、作るしかないんだ!」って。

2014年にAndroidのTwitterアプリが、インストールされているアプリのリストをTwitterに送信し始めたの覚えてる? https://news.bloomberglaw.com/privacy-and-data-security/twit... それ以来、ブラウザで使えるアプリのネイティブ版はインストールしないことにしてる。FacebookやInstagramは使ってないから、今どうなってるかは知らないけど、Facebook Messengerが意図的に機能制限されてたのは覚えてる。ここ10年、ネイティブアプリがたくさんの権限を要求して、ユーザーはただ「同意」をクリックしてるだけ。なんでFacebookが私のWi-FiネットワークやBluetoothを読む必要があるの?絶対に怪しいことが起きてるよ。実店舗を歩き回る人を追跡するビーコントラッキング。 https://en.wikipedia.org/wiki/Facebook_Bluetooth_Beacon ネイティブアプリはウェブアプリよりもずっと使いやすくて快適なのに、残念だよね。

本当の問題はWebRTCにある。WebRTCはデフォルトで無効にしておくべきだし、少なくとも権限ダイアログの後ろに隠しておくべき。とはいえ、Facebookはチャットや何かの機能を無効にして「WebRTCが必要だ」と言って、99%のユーザーがそれに同意するだろうけど。

これを読んでて、fetch("/id=" rel="nofollow">http://localhost:/id=")を実行できたと言ってもいいのかな?でもそうすると、ログに目立って出てきちゃうし、UDPポートとは話せないよね?

この罰金が集められたら、私にお金は入るの?真剣な質問だよ。税金とかはあんまり気にしないけど、この場合は私が被害者だと思うから、何らかの補償を受けるべきだと思う。€1,000〜2,000くらいなら、少しは補償された気がするかな。

このシステムは、名前を付けてソース管理システムにコードをコミットしたエンジニアたちによって設計・実装されました。そして、変更はチケットシステムで名前を付けてリクエストされたプロダクトマネージャーによって行われました。これらのエンジニアやプロダクトマネージャーは、Facebookが年間収益の一定割合に対して責任を負うのと同様に、自分たちの年収の一定割合に対して個人的に責任を持つべきだと思います。

EUは、アメリカに住んでアメリカで給料をもらっているエンジニアに対してどうやって罰金を科すつもりなんだろう?

よくわからないこと: - どうしてYandexは何年も気づかれずにやってたの? - Facebookもこの手法を何年も知ってたはずなのに、なんで去年になってやっと有効にしたの?