近日,一项由西班牙 IMDEA 软件研究所牵头的学术研究引发全球安全圈关注。研究指出,全球两大科技巨头——美国的 Meta 和俄罗斯的 Yandex,借助安卓平台的本地通信机制,绕过系统权限控制与用户隐私防护,悄然实现了网页与 App 之间的 ID 跨端绑定与行为数据融合采集。这一机制已持续多年,影响或涉及全球数十亿 Android 设备用户。

在未经过用户授权、未告知、甚至未被浏览器或系统检测的情况下,这一机制可实现网页访问行为与 App 数据的绑定,使平台可以精准识别用户身份、构建完整画像。更严重的是,一旦该机制被恶意应用程序利用,可能造成浏览记录、用户行为等敏感数据的系统性泄露。

滥用 localhost 通信:绕过隐私边界的跨端追踪

技术原理简述

研究显示,Meta 和 Yandex 分别在其网页追踪脚本(Meta Pixel 与 Yandex Metrica)中引入了“web-to-native”桥接机制。这一机制通过监听 Android 设备上的 localhost 本地端口,在不需额外系统权限的情况下,将网页端 Cookie、追踪 ID 或用户行为信息,通过 HTTP 或 WebRTC 通信通道发送至本地 App,再由 App 将信息上传至服务器。

在 Android 平台中,应用之间本应被严格隔离,浏览器与本地应用也默认处于沙箱环境,无法直接通信。但这两家厂商利用 Android 浏览器默认允许发送 localhost 请求的机制,构建了一个隐蔽的 ID 同步与行为收集通道。

研究人员指出,这一技术绕开了 Android 广告 ID 重置机制、浏览器隐私模式、Cookie 清除策略、App 间权限沙箱等一系列设计初衷为保护用户隐私的机制,形同“绕过所有防线的隐秘通道”。

攻击面外溢

更严重的问题是,一旦攻击者开发了监听相同端口的恶意 Android 应用,即便用户未安装 Yandex 或 Meta App,也能复用该通信机制,监听用户浏览记录。

换言之,只需安装一个权限极低的恶意 App,即可在用户毫无察觉的情况下,劫持来自数百万网站的访问记录数据。

目前,研究团队已在 Chrome、Firefox、Edge 等主流 Android 浏览器中验证了这一监听行为确实发生,且在正常和隐私浏览模式下均无法阻断。只有 Brave 默认阻断 localhost 请求完全免疫该机制,DuckDuckGo 浏览器因封锁部分 Yandex Metrica 数据流,影响较轻。

全球影响范围广泛:数十亿用户暴露在隐蔽追踪之下

网站部署情况

根据研究者对BuiltWith与HTTP Archive数据的分析,全球大约有580万网站嵌入了Meta Pixel,另有近300万个网站集成了Yandex Metrica。通过遍历前10万热门网站的爬虫测试,研究者发现:

Meta Pixel在欧盟和美国站点中分别有15,677和17,223个在加载页面时主动尝试与本地端口通信,即使用户未点击“同意Cookie”,仍有11,890(EU)和13,468(US)个站点默认执行该操作。

Yandex相关行为的触发频率略低,但在EU与US站点中仍达到了1,064和1,095个的“无同意通信”事件。

这说明,在用户毫不知情的情况下,大量主流网站已被用于实施这种“隐形跟踪”机制。

App责任缺位

报告指出,Meta 与 Yandex 均未在其公开文档或开发者资料中披露该跨端通信机制,许多网站接入者在发现本地监听行为后曾向 Meta 支持询问,但得到的仅是泛泛回应,未作明确说明。

Meta 的跨端监听行为据推测始于 2023 年 9 月,已确认在 2025 年 6 月 3 日完全移除了相关代码,并称正在就政策解释问题与 Google 进行沟通。

Yandex 的该机制则最早可追溯至 2017 年初,彼时即已通过 HTTP 请求与其 App 建立通信通道。Yandex 在回应中称“该机制仅用于改善 App 个性化推荐,不涉及敏感数据,也不会去标识用户身份”,但承诺将停止相关行为。

尽管两家公司均表示已终止使用该机制,但这一“隐形通道”长达 8 年的存在周期与未披露使用意图,已足以引发全球对跨端追踪边界与系统隐私机制有效性的深层担忧。

Android平台机制性缺陷首次遭到大规模“战术化利用”

研究人员指出,这种追踪方式最核心的问题在于绕过了Android平台原有的沙箱隔离、权限控制、隐私提示与用户授权机制,造成以下安全困境:

浏览器与App间数据壁垒失效:

Web 与 App 本应数据隔离,但通过 localhost 端口连接后,浏览器中的行为被“泄露”给后台应用。

现有隐私控制机制无效:

无痕模式、cookie 清除、广告ID重置、未登录状态等均无法阻止此类追踪。

平台政策与技术空白:

Google直到2025年5月才在Android Chrome中引入临时防护措施,目前尚未有全面系统性修复。

值得注意的是,研究人员尚未在 iOS 平台发现同类行为,但指出由于 iOS 亦支持 WebKit 本地通信,在技术上也并非不可实现,未来或存变数。

监管与治理:应对“本地通道滥用”刻不容缓

尽管 Meta 与 Yandex 在研究发布后宣布“停用相关功能”,但此次事件暴露出平台方与监管体系的多重盲区:

技术合规的灰色地带:

行为发生在本地设备之间,通信无出网,未被当前 cookie、隐私政策覆盖,合规监管亟需更新定义;

平台责任机制缺失:

App 开发者对 SDK 行为无感知,用户也无法察觉,厂商与平台需提供更加细致的权限说明与提示机制;

防御能力依赖单一浏览器厂商:

目前仅 Google 和 Brave 推出部分防护措施,其他 Chromium 浏览器与国产浏览器尚未覆盖。

研究团队建议,未来需推动:

  • Android 系统加强本地通信访问权限控制;

  • 浏览器加强 localhost 通信透明化与用户提示机制;

  • 平台引入用户可控的“本地监听”权限项,并纳入隐私沙箱与广告ID治理框架中;

  • 对跨平台ID桥接行为建立行业合规评估体系,强化开发者与平台透明度责任。

本次披露的研究表明,传统意义上的“App权限边界”与“浏览器隔离机制”正在被绕过,新一代的跨应用、跨平台用户追踪技术正在崛起。这一趋势挑战了当前隐私防护模型的边界,也对Android生态系统、浏览器厂商、网站运营者乃至监管机构提出了更高要求。

在全球日益重视数据主权与平台透明的背景下,Meta与Yandex的案例为业界敲响了警钟:隐私保护不能仅依赖“用户设置”,更需平台、技术标准与监管措施的全面升级。

免责声明

本文仅用于技术讨论与学习,利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,本平台和发布者不为此承担任何责任。