隐私滥用事件 - Meta和俄罗斯科技巨头Yandex被国际研究团队发现通过Android本地应用监听固定本地端口，未经用户同意即可追踪用户浏览习惯 [3] - 涉及的应用程序包括Meta旗下的Facebook、Instagram以及Yandex的Maps、Navi、Browser和Search等 [3] - 该追踪方法绕过Android权限控制和浏览器隐身模式，影响所有主流Android浏览器 [4] 追踪技术细节 - Meta的Pixel和Yandex Metrica通过在数百万网站嵌入追踪代码，将Android用户浏览习惯与持久身份关联 [4] - Meta Pixel使用localhost通道通过WebRTC与原生应用如Facebook或Instagram共享浏览器标识符 [8][9] - Yandex的AppMetrica SDK采用被动但侵入性方式，监听本地端口并捕获网络追踪数据，与移动设备级标识符如Android广告ID聚合 [10] 追踪规模和时间 - Meta Pixel和Yandex Metrica分别安装在约580万和300万个网站上 [6] - Yandex自2017年开始使用该方法，Meta则从2024年9月开始 [6] - Yandex应用在安装后等待长达三天才激活localhost监听器，可能是为了逃避调查 [12] 行业应对措施 - 研究团队已向多个浏览器供应商披露该问题，Chrome等浏览器正在积极开发缓解措施 [5] - 浏览器开发者包括Chrome和DuckDuckGo已根据披露信息发布修复程序 [16] - 移动平台和浏览器需要彻底改革对本地端口访问的处理方式以防止此类滥用 [13] 公司行为分析 - 目前没有证据表明Meta或Yandex向托管追踪器的网站或最终用户披露这些追踪功能 [14] - Meta未告知网站所有者这种追踪方法，也忽略了他们的投诉和问题 [16] - Yandex应用的动态特性类似于恶意软件中的命令控制节点，从服务器获取监听端口配置和启动延迟 [11]