Исследование выявило новый метод отслеживания пользователей Android, реализованный через localhost-соединения в нативных приложениях Meta (Facebook, Instagram) и Яндекс (Карты, Браузер, Навигатор и др.). С помощью прослушивания локальных портов и передачи идентификаторов (cookie, AAID и др.) из мобильного браузера в приложение, компании могут деанонимизировать сессии пользователей и связывать веб- и мобильные идентификаторы, обходя очистку куки, режим инкогнито и разрешения Android.

Meta Pixel и Яндекс.Метрика используют JavaScript-скрипты на миллионах сайтов, которые инициируют соединения с localhost на Android и пересылают ключевые идентификаторы в нативные приложения — что позволяет связывать действия пользователя на разных сайтах с его аккаунтом. По оценкам, Pixel Meta интегрирован на 5,8 млн сайтов, Яндекс.Метрика — почти на 3 млн. В рамках сканирования 100 000 топовых сайтов, до 84% интеграций используют этот механизм без явного согласия пользователя.

Расследование показало, что данная архитектура несет не только угрозу приватности, но и риск утечки истории браузера сторонним приложениям, способным прослушивать те же порты. После раскрытия проблемы часть браузеров (Chrome, DuckDuckGo, Brave) внедрили защитные патчи, но необходимы более глубокие меры по ограничению доступа к localhost и усилению IPC-безопасности Android. Meta уже перестала использовать один из методов отслеживания после публикации результатов исследования. Вопрос остается актуальным для миллионов пользователей и требует системного отраслевого реагирования.