Сүүлийн жилүүдэд Meta (Facebook, Instagram-ийг эзэмшигч) болон Оросын Yandex компаниуд Android үйлдлийн системтэй төхөөрөмжүүд дээр мэдэгдэхгүйгээр хэрэглэгчийн вэб-хөтлөлтийг хянаж байсан талаар шинэ судалгаа ил боллоо. “localhost” хэмээх системийн сул тал дээр суурилсан энэхүү арга нь хэрэглэгчийн зөвшөөрөлгүйгээр өгөгдөл дамжуулах боломжийг олгож байжээ.
Хэрхэн мэдээлэл цуглуулж байсан бэ?
Энэ хяналт нь “localhost” буюу дотоод IP хаягтай холбоотой. Энэхүү IP нь ерөнхийдөө төхөөрөмжийн систем доторх апп-уудын харилцаанд зориулсан ч JavaScript скриптүүд (Meta Pixel, Yandex Metrica) ашиглан хөндлөн мэдээлэл татахад ашиглагджээ.
Meta болон Yandex-ийн апп-ууд болох Facebook, Instagram, Yandex Maps гэх мэт нь төхөөрөмж дээр суусан байх тохиолдолд, хэрэглэгч зүгээр л сайтын зочилсон тохиолдолд ч хөтөчөөс өгөгдөл цуглуулах боломжтой байсан байна. Үүнд:
- Session cookie буюу таны хуралдааны өгөгдөл
- Хэрэглэгчийн ID болон зан төлөвийн мэдээлэл
- Вэб хуудсаар гүйцэтгэсэн үйлдлүүд
Аль хөтчүүд өртсөн бэ?
Хамгийн ихээр өртсөн хөтчүүд:
- Chrome
- Firefox
- Edge
Харин DuckDuckGo нь зарим домэйнийг автоматаар хааж чаддаг тул бага өртсөн бол Brave хөтөч хэрэглэгчийн зөвшөөрөлгүйгээр ийм хүсэлтийг хориглодог байжээ.
Хугацаа ба технологийн хувьслууд
- Yandex: 2017 оноос HTTP сайтуудад, 2018 оноос HTTPS сайтуудад ашиглаж эхэлсэн.
- Meta: 2024 оны 9-р сард ижил технологийг эхлүүлсэн ч 10-р сард зогсоосон. Гэсэн хэдий ч дараа нь WebSocket ба WebRTC ашигласан.
Apple-ийн iOS яагаад хохиролгүй үлдэв?
iPhone болон iOS системд Apple-ийн тавьсан фонов процессын хязгаарлалт болон локал сүлжээний хяналт нь дээрх аргыг хэрэгжүүлэхэд бараг боломжгүй болгосон байна. Одоогоор iOS дээр ийм практик хийгдсэн нотолгоо олдоогүй.
Цаашдын алхмууд
- Meta Pixel-ийн localhost-тай харилцааг 6-р сарын 5-наас хойш бүртгээгүй
- Yandex энэ практикийг зогсоохоо амласан
- Google энэ асуудлыг шалгах мөрдөн байцаалт эхлүүлээд байна
Энэ бол ганц техник биш, хэрэглэгчийн хувийн орон зайг зөрчиж байгаа ноцтой асуудал юм. Компаниуд хэрэглэгчийн зөвшөөрөлгүйгээр өгөгдөл цуглуулж, ашиглаж байсан нь аюулгүй байдал, нууцлалын үндсэн зарчимд харшилж байна.
