Представник Google повідомив, що дане поведінка порушує умови використання їхнього Play-магазину та очікування конфіденційності користувачів Android.
«Розробники, згадані в цьому матеріалі, використовують можливості, доступні в багатьох браузерах на iOS та Android, у неналежний спосіб, що прямо суперечить нашим принципам безпеки та конфіденційності», — зазначив представник, посилаючись на осіб, які створюють JavaScript для Meta Pixel та Yandex Metrica. «Ми вже запровадили зміни, щоб зменшити ці агресивні методи, і відкрили власне розслідування, перебуваючи у прямому контакті з усіма сторонами».
Meta не надала відповіді на запитання, надіслані електронною поштою, але зробила наступну заяву: «Ми ведемо перемови з Google для вирішення можливого непорозуміння стосовно застосування їхніх політик. Дізнавшись про стурбованість, ми вирішили призупинити функцію, поки працюємо з Google над її вирішенням».
У своєму листі Yandex повідомив про припинення цієї практики та також перебуває у контакті з Google.
«Yandex строго дотримується стандартів захисту даних і не проводить дев’яностисекундну анонімізацію користувацьких даних», — додали в заяві. «Оскаржувана функція не збирає жодну чутливу інформацію та призначена виключно для покращення персоналізації в наших додатках».
Як Meta та Yandex анонімізують користувачів Android
Розробники Meta Pixel зловживали різними протоколами для реалізації прихованого слухання з моменту початку практики минулого вересня. Вони почали з того, що змусили програми надсилати HTTP-запити на порт 12387. За місяць Meta Pixel перестав надсилати ці дані, хоча додатки Facebook та Instagram продовжували стежити за порту.
В листопаді Meta Pixel перейшов на новий метод, який використовував WebSocket — протокол для двосторонніх комунікацій через порт 12387.
Того ж місяця Meta Pixel також запровадив новий метод, що використовував WebRTC, протокол реальної часу для прямого зв’язку, що часто застосовується для аудіо- та відеодзвінків у браузері. Цей метод використовував складний процес, відомий як SDP munging, техніку, завдяки якій JavaScript-код модифікує дані протоколу опису сесії перед їх відправкою. Попри це, сьогодні все ще використовується SDP munging, яке вставляє вміст ключів _fbp cookie в поля, призначені для інформації про з’єднання. Це викликає відправлення браузером цих даних як частини STUN-запиту до локального хосту Android, де додаток Facebook або Instagram може прочитати ці дані та зв’язати їх із користувачем.
