Исследователи обнаружили, что трекинговые коды Meta (Meta Pixel) и Яндекса (Yandex Metrica), встроенные в миллионы сайтов, позволяют этим компаниям деанонимизировать пользователей Android за счёт передачи уникальных web-идентификаторов в нативные приложения на устройстве. Такой подход нарушает базовые механизмы privacy и изоляции данных — в частности, sandboxing и partitioning браузеров Chrome и Firefox.

• Технология позволяет обходить защиту Android и браузеров, связывая временные web-ID с постоянными аккаунтами в приложениях Facebook, Instagram и Яндекс.
• Яндекс использует этот метод с 2017 года, Meta — с сентября 2024-го.
• Google начал расследование и рассматривает возможные меры по ограничению такого отслеживания.
• Проблема затрагивает миллионы пользователей, подрывая гарантии приватности при использовании мобильного интернета и приложений.

Эксперты отмечают, что найденный вектор атаки фактически ломает барьеры между браузером и мобильными приложениями, предоставляя владельцам трекеров возможность строить полные профили пользователей на стыке web и app-экосистем.