Urmărirea codului pe care Yandex, bazat pe Meta și Rusia, se încorporează în milioane de site-uri web este de anonimizare a vizitatorilor, abuzat de protocoalele legitime de internet, determinând Chrome și alte browsere să trimită în mod ascendent identificatori unici la aplicațiile native instalate pe un dispozitiv, Cercetătorii au descoperit. Google spune că investighează abuzul, ceea ce permite Meta și Yandex să convertească identificatorii web efemeri în identitățile utilizatorilor de aplicații mobile persistente.
Urmărirea ascunsă – implementată în Meta Pixel şi YANDEX METRICA Trackers – permite Meta și Yandex pentru a ocoli protecția de securitate și confidențialitate de bază furnizate atât de sistemul de operare Android, cât și de browserele care rulează pe acesta. Android Sandboxingde exemplu, izolează procesele pentru a le împiedica să interacționeze cu sistemul de operare și orice altă aplicație instalată pe dispozitiv, tăind accesul la date sensibile sau la resursele de sistem privilegiate. Apărări astfel ca stat partiționare şi Partiționare de stocarecare sunt încorporate în toate browserele majore, stocarea cookie-urilor site-ului și a altor date asociate cu un site web în containere care sunt unice pentru fiecare domeniu de site web pentru a se asigura că sunt în afara limitelor pentru fiecare alt site.
O încălcare flagrantă
„Unul dintre principiile fundamentale de securitate care există pe web, precum și sistemul mobil, se numește Sandboxing”, a declarat Narseo Vallina-Rodriguez, unul dintre cercetătorii din spatele descoperirii, într-un interviu. “Rulați totul într -o cutie de nisip și nu există nicio interacțiune în diferite elemente care rulează pe ea. Ceea ce permite acest vector de atac este să spargeți cutia de nisip care există între contextul mobil și contextul web. Canalul care există a permis sistemului Android să comunice ceea ce se întâmplă în browser cu identitatea care rulează în aplicația mobilă.”
Comentarii recente