Meta ถูกจับได้ว่าแอบติดตามกิจกรรมการท่องเว็บของผู้ใช้ Android อย่างลับๆ ผ่านช่องโหว่ในระบบ Android ร่วมกับบริษัทเทคโนโลยีผู้ให้บริการค้นหาจากรัสเซียอย่าง Yandex ซึ่งดำเนินการในลักษณะนี้มานานหลายปีแล้ว เรื่องนี้ถูกเปิดเผยผ่านรายงานชื่อ “Disclosure: Covert Web-to-App Tracking via Localhost on Android”
โดยอธิบายว่าทั้งสองบริษัทได้ใช้ประโยชน์จากช่องโหว่ที่ระบบ Android อนุญาตให้แอปที่ติดตั้งอยู่เข้าถึงที่อยู่ Localhost หรือ Loopback ซึ่งโดยปกติแล้วอุปกรณ์จะใช้ในการสื่อสารภายในตัวเอง แต่ช่องโหว่นี้กลับเปิดทางให้ JavaScript เช่น Meta Pixel และ Yandex Metrica ส่งข้อมูลการท่องเว็บและตัวระบุของผู้ใช้กลับไปยังแอปที่ติดตั้งไว้ เช่น Facebook และ Instagram
วิธีนี้ทำให้เมื่อผู้ใช้ติดตั้งแอป Instagram และล็อกอิน จากนั้นเข้าชมเว็บไซต์ที่ฝัง Meta Pixel ข้อมูลการท่องเว็บของผู้ใช้ก็จะถูกส่งกลับไปยังแอปของ Meta โดยอัตโนมัติ แม้ผู้ใช้ไม่ได้ให้ความยินยอมไว้ล่วงหน้า
เบราว์เซอร์ที่ได้รับผลกระทบคือ Chrome, Firefox และ Edge โดย DuckDuckGo ได้รับผลกระทบบ้างเล็กน้อย ส่วน Brave ป้องกันการเข้าถึง Localhost ได้อย่างมีประสิทธิภาพ
ผู้เชี่ยวชาญจากมหาวิทยาลัย Radboud ในเนเธอร์แลนด์ และ IMDEA Networks รายงานว่า พวกเขาค้นพบการติดตามกิจกรรมเบราว์เซอร์ของผู้ใช้ Android โดยไม่ได้รับการยินยอมจากผู้ใช้ ซึ่งข้อมูลเหล่านี้ถูกส่งกลับไปยังแอปของ Meta เช่น Facebook และ Instagram และแอปของ Yandex เช่น Yandex Maps โดยอาศัยสคริปต์ที่แอบทำงานอยู่เบื้องหลังอุปกรณ์ Android ของผู้ใช้
ดร. Gunes Acar ผู้ช่วยศาสตราจารย์จาก Radboud University อธิบายเพิ่มเติมว่า สคริปต์เหล่านี้สามารถข้ามมาตรการความปลอดภัยของ Android และติดตามกิจกรรมเบราว์เซอร์ได้ทุกเบราว์เซอร์หลักบน Android แม้ว่าผู้ใช้จะอยู่ในโหมดไม่ระบุตัวตน (Incognito mode) ก็ตาม ซึ่งเป็นเรื่องที่น่าตกใจและทำลายความเชื่อมั่นในการควบคุมความเป็นส่วนตัว
Narseo Vallina-Rodriguez รองศาสตราจารย์จาก IMDEA Networks เสริมว่า การกระทำเช่นนี้สร้างความกังวลอย่างมาก เพราะมันทำลายระบบควบคุมความเป็นส่วนตัวในเบราว์เซอร์และแพลตฟอร์มมือถือสมัยใหม่อย่างสิ้นเชิง
Google ซึ่งเป็นเจ้าของระบบ Android ยืนยันการกระทำที่แอบแฝงนี้และระบุว่า Meta และ Yandex ใช้ความสามารถของ Android ในลักษณะที่ไม่ได้ตั้งใจและละเมิดหลักการด้านความปลอดภัยและความเป็นส่วนตัวของ Google อย่างชัดเจน
Meta ระบุว่ากำลังหารือกับ Google เพื่อแก้ไขปัญหาการสื่อสารผิดพลาดเกี่ยวกับนโยบายและตัดสินใจระงับคุณสมบัตินี้ระหว่างการตรวจสอบ ด้าน Yandex ปฏิเสธว่าไม่ได้เก็บข้อมูลที่มีความอ่อนไหวและยืนยันว่าคุณสมบัติดังกล่าวมีไว้เพื่อปรับปรุงการใช้งานภายในแอปของบริษัทเท่านั้น
เบราว์เซอร์ที่ได้รับผลกระทบคือ Chrome, Firefox และ Edge โดย DuckDuckGo ได้รับผลกระทบบ้างเล็กน้อย ส่วน Brave ป้องกันการเข้าถึง Localhost ได้อย่างมีประสิทธิภาพ
ตามรายงาน Yandex ใช้วิธีนี้มาตั้งแต่ปี 2017 สำหรับเว็บไซต์ HTTP และตั้งแต่ปี 2018 สำหรับ HTTPS ส่วน Meta เริ่มเมื่อกันยายน 2024 และเปลี่ยนวิธีการหลายครั้งจนถึงเดือนพฤษภาคมที่ผ่านมา
แม้ล่าสุด Meta จะระงับวิธีการติดตามนี้ตั้งแต่วันที่ 3 มิถุนายน 2025 แล้ว แต่ผลกระทบยังมีอยู่ เพราะมีการประมาณว่า Meta Pixel ถูกใช้งานบนเว็บไซต์ต่างๆ มากถึง 2.4-5.8 ล้านเว็บไซต์ โดยเฉพาะในสหรัฐฯ พบเว็บไซต์กว่า 17,000 แห่งพยายามเชื่อมต่อกับ Localhost โดยไม่ได้ขอความยินยอมจากผู้ใช้ เช่น AP News, Buzzfeed และ The Verge
ล่าสุด Google ได้เริ่มสอบสวนกรณีนี้แล้ว โดยระบุว่าเป็นการละเมิดหลักการด้านความปลอดภัยและความเป็นส่วนตัวอย่างชัดเจน ส่วน Yandex ระบุว่าจะยุติวิธีการนี้เช่นกัน
ที่มา: Sky News, lifehacker
