เว็บ Facebook, Instagram, Yadex แอบเชื่อมต่อแอปในแอนดรอยด์เพื่อระบุตัวตนผู้ใช้ แม้ใช้งานแบบ Incognito
Body
ทีมวิจัย Local Mess รายงานถึงผู้บริการจำนวนหนึ่งที่อาศัยความได้เปรียบที่ผู้ใช้ติดตั้งแอปของตัวเองในเครื่อง พยายามติดตามตัวผู้ใช้แม้ผู้ใช้จะใช้งานผ่านทางเบราว์เซอร์ภายนอกที่ไมได้ล็อกอิน โดนตอนนี้พบว่า Facebook, Instagram, และแอปในเครือ Yandex ล้วนมีพฤติกรรมนี้ แม้ฝั่ง Facebook และ Instagram จะหยุดใช้เทคนิคนี้หลังมีรายงานออกมา
ทีมงานพบว่าแอป Facebook และ Instagram จะเปิดพอร์ตหนึี่งในช่วง 12580–12585 เอาไว้ จากนั้นเมื่อผู้ใช้เข้าเว็บ ตัวเว็บจะพยายามใช้ WebRTC API ส่งข้อมูลตัวตนผู้ใช้เข้าไปยังแอป เมื่อทั้งสองฝั่งได้หมายเลข cookie ทำให้เชื่อมต่อตัวคนถึงกันได้ว่าผู้ใช้เข้าเว็บอะไรบ้าง
Yandex ใช้เทคนิคคล้ายกันมาเป็นเวลานาน ตั้งแต่ปี 2017 อย่างไรก็ดี Yandex นั้นใช้การเชื่อมต่อแบบ HTTPS ธรรมดาทำให้นักวิจัยมองเห็นการเชื่อมต่อจาก Developer Tools บนเบราว์เซอร์ธรรมดา ขณะที่ Facebook และ Instagram นั้นใช้ WebRTC ที่ตรวจพบได้ยากกว่า
ทุกเว็บที่ติดตั้ง Meta Pixel จะได้รับผลกระทบทั้งหมด โดยมีเว็บยอดนิยมจำนวนมาก เช่น เว็บอีคอมเมิร์ช หรือเว็บข่าว ส่งผลให้ Meta สามารถรู้ว่าผู้ใช้เข้าเว็บอะไรบ้างแม้ไม่ได้ล็อกอิน
Meta ระบุว่ากำลังพูดคุยกับกูเกิลว่ามีการ "สื่อสารผิดพลาดเกี่ยวกับการทำตามนโยบาย" เนื่องจาก Google Play นั้นห้ามไม่ให้แอปแอบติดตามตัวตนผู้ใช้
ที่มา - Local Mess, The Register
lew Mon, 09/06/2025 - 07:53
Continue reading...
Body
ทีมวิจัย Local Mess รายงานถึงผู้บริการจำนวนหนึ่งที่อาศัยความได้เปรียบที่ผู้ใช้ติดตั้งแอปของตัวเองในเครื่อง พยายามติดตามตัวผู้ใช้แม้ผู้ใช้จะใช้งานผ่านทางเบราว์เซอร์ภายนอกที่ไมได้ล็อกอิน โดนตอนนี้พบว่า Facebook, Instagram, และแอปในเครือ Yandex ล้วนมีพฤติกรรมนี้ แม้ฝั่ง Facebook และ Instagram จะหยุดใช้เทคนิคนี้หลังมีรายงานออกมา
ทีมงานพบว่าแอป Facebook และ Instagram จะเปิดพอร์ตหนึี่งในช่วง 12580–12585 เอาไว้ จากนั้นเมื่อผู้ใช้เข้าเว็บ ตัวเว็บจะพยายามใช้ WebRTC API ส่งข้อมูลตัวตนผู้ใช้เข้าไปยังแอป เมื่อทั้งสองฝั่งได้หมายเลข cookie ทำให้เชื่อมต่อตัวคนถึงกันได้ว่าผู้ใช้เข้าเว็บอะไรบ้าง
Yandex ใช้เทคนิคคล้ายกันมาเป็นเวลานาน ตั้งแต่ปี 2017 อย่างไรก็ดี Yandex นั้นใช้การเชื่อมต่อแบบ HTTPS ธรรมดาทำให้นักวิจัยมองเห็นการเชื่อมต่อจาก Developer Tools บนเบราว์เซอร์ธรรมดา ขณะที่ Facebook และ Instagram นั้นใช้ WebRTC ที่ตรวจพบได้ยากกว่า
ทุกเว็บที่ติดตั้ง Meta Pixel จะได้รับผลกระทบทั้งหมด โดยมีเว็บยอดนิยมจำนวนมาก เช่น เว็บอีคอมเมิร์ช หรือเว็บข่าว ส่งผลให้ Meta สามารถรู้ว่าผู้ใช้เข้าเว็บอะไรบ้างแม้ไม่ได้ล็อกอิน
Meta ระบุว่ากำลังพูดคุยกับกูเกิลว่ามีการ "สื่อสารผิดพลาดเกี่ยวกับการทำตามนโยบาย" เนื่องจาก Google Play นั้นห้ามไม่ให้แอปแอบติดตามตัวตนผู้ใช้
ที่มา - Local Mess, The Register
lew Mon, 09/06/2025 - 07:53
Continue reading...