近日，一项国际研究合作揭露了涉及Meta和俄罗斯科技巨头Yandex的潜在隐私滥用行为。研究团队发现，包括Facebook、Instagram以及Yandex地图、Navi、浏览器和搜索等在内的多款原生Android应用，在未经用户明确同意的情况下，通过监听移动设备上的固定本地端口，悄悄获取用户的浏览习惯。

该研究指出，通过在数百万个网站中嵌入跟踪代码，Meta的Pixel和Yandex Metrica能够将Android用户的浏览习惯与其持久身份进行映射，从而绕过Android权限控制和浏览器隐身模式提供的隐私保护。这一行为影响了所有主流Android浏览器，涉及的用户数量庞大。

研究团队由IMDEA Networks的互联网分析小组领导，成员包括Narseo Vallina-Rodriguez、Gunes Acar教授(荷兰拉德堡德大学)和Tim Vlummens(比利时鲁汶大学)。他们已将此问题披露给多家浏览器供应商，这些供应商正在积极研究缓解措施以限制此类滥用行为。

“尽管采用了不同的策略，但Meta和Yandex的追踪器都实现了相同的结果——无缝链接移动和网络身份，而无需用户选择加入。”研究团队成员Aniketh Girish解释道。他进一步指出，Yandex的AppMetrica SDK监听本地端口，捕获入站网络跟踪数据，并将其与移动级标识符聚合，反馈给嵌入在网站中的Yandex像素，从而实现去匿名化。

对于防止此类滥用，研究小组负责人Narseo Vallina-Rodríguez认为，移动平台和浏览器应彻底改革其处理本地端口访问的方式。他强调，技术缓解措施不应破坏本地主机套接字的合法使用，因此需要新的沙盒原则和更严格的平台政策来限制滥用。

目前，没有证据表明Meta或Yandex已将这些追踪功能披露给网站开发者或最终用户。研究团队指出，当这些脚本开始连接到本地端口时，许多使用Meta Pixel的网站运营商都措手不及。

“这种跨平台跟踪是前所未有的，尤其令人惊讶的是，它竟然出现在两家为全球数十亿用户提供服务的公司身上。”拉德堡德大学助理教授Gunes Acar强调道。