Meta最近被发现在Android设备上使用本地主机跟踪来跟踪用户的活动,这项隐私数据收集功能可能会花费Meta 320亿美元,作者解释了本地主机跟踪背后的技术。
数据工程的一个关键部分是收集高质量的数据,以增强业务决策和智能。我们能在多大程度上跟踪用户活动?始终需要考虑法规和道德因素。
Meta设计了一个巧妙的系统(“本地主机跟踪”),绕过Android的沙箱保护,在你的移动的手机上浏览时识别你-即使你使用VPN,浏览器的隐身模式,并在每次会话中拒绝或删除cookie。
接下来,我们将预览什么可能(也应该)成为世纪的联合制裁打击,然后我们用简单的术语(因为它很复杂)解释Meta在做什么。
- 根据以下法规,Meta同时面临责任,从最轻到最重列出:GDPR,DSA和DMA(我甚至没有包括ePrivacy Directive,因为它很可笑)。
- GDPR、DMA和DSA保护不同的法律的利益,因此每项规定的处罚可以累积实施。
- 合并的理论最大风险约为320亿欧元 **(Meta全球年收入的4% + 6% + 10%,2024年超过1640亿欧元)。
- 最高罚款额以前从未同时适用,但有些人可能会说这些无赖已经赢得了它。
什么是“本地主机跟踪”?
下面是对一个非常技术性的过程的简化解释,在研究人员建立的网站上进行了严格的详细说明,这些研究人员发现了Meta对GDPR的最新重大打击,以及更广泛的其他法规。
值得称赞的是-它很巧妙。在打破(再次)与隐私有关的罚款记录的意义上是巧妙的,但是嘿!很巧妙。
通过这个过程,Meta(Facebook/Instagram)设法将您在浏览器中所做的事情(例如,访问新闻网站或在线商店)与您的真实的身份(您的Facebook或Instagram帐户)联系起来,即使您从未通过浏览器或类似的东西登录过您的帐户。
Meta通过两个不可见的信息交换渠道来实现这一点:
感谢揭露这一丑闻的杰出人士:蒂姆·弗卢门斯、纳尔塞奥·瓦琳娜·罗德里格斯、尼普纳·韦拉塞卡拉、冈斯·阿卡尔和阿尼凯斯·吉里什。
_fbp cookie从Web到本机和服务器的整个流程如下:
- 用户打开本地Facebook或Instagram应用程序,该应用程序最终被发送到后台,并创建后台服务以侦听TCP端口(12387或12388)和UDP端口(12580-12585中的第一个未占用端口)上的传入流量。用户必须使用应用程序上的凭据登录。
- 用户打开他们的浏览器并访问集成了Meta Pixel的网站。
- 在此阶段,网站可能会根据网站和访问者的位置征求同意。
- Meta Pixel脚本通过WebRTC(STUN)SDP Munging将_fbp cookie发送到本地Instagram或Facebook应用程序。
- Meta Pixel脚本还将请求中的_fbp值https://www.facebook.com/tr沿着其他参数(诸如页面URL(dl)、网站和浏览器元数据以及事件类型(ev)(例如,PageView、AddToCart、Donate、Purchase)。
- Facebook或Instagram应用程序从浏览器上运行的Meta Pixel JavaScript接收_fbp cookie。应用程序将_fbp作为GraphQL突变传输到(https://graph [.] Facebook[.] com/graphql)沿着其他持久用户标识符,将用户的fbp ID(网络访问)与他们的Facebook或Instagram帐户链接起来。
一步一步解释的就像你是五岁小孩
【第一步:App偷偷开了个后门】
你像平常一样打开Facebook或Instagram应用程序。
然后你在手机上做其他事情(应用程序仍在后台运行)。
在没有告诉你的情况下,该应用程序会继续运行并“监听”流量--就像有一个隐藏的麦克风窃听内部通话一样。
从技术上讲,它通过打开本地网络“端口”(就像手机里的小内门)来接收信息。
重要的是要澄清,这只会发生在你已经登录到这些应用程序与您的帐户。
想象你打开微信朋友圈刷了会儿,然后切出去打游戏了。但微信其实没真关掉,它在你手机里悄悄开了几个"狗洞"(12387和12580这些端口),像特工耳机一样随时偷听网络动静。不过别担心,只有你登录账号后它才会这么干。
【第二步:你偷偷看沙雕视频】
这时候你突然想:"嘿嘿,趁没人看我刷会儿土味视频!"于是你打开浏览器,特意开了无痕模式+VPN,自信满满点开"全村最骚的鸡"这种网站。但你没注意到网页里藏了个"Meta 小间谍"(Meta Pixel)。
这间谍有个骚操作:还没等你点"同意收集数据",它就已经开始干活了!就像你妈说"等会儿再吃零食",结果转头发现你弟已经把薯片袋舔干净了。
【第三步:跨软件秘密通话】
接下来魔幻的事情发生了:浏览器里的"小间谍"居然和你后台挂着的Meta 应用搞起了地下接头!它们用视频通话的技术(WebRTC),但传的不是你的脸,而是你的浏览记录。更骚的是它们把信息藏在"握手暗号"(SDP Munging)里传送,就像考试传纸条还用了摩斯密码。
这时候你的手机号已经变成了一串"香肠码"(比如FB#9527),但别急,更刺激的来了...
【第四步:双线告密】
这个"小间谍"特别敬业,它同时干两件事:
- 把"香肠码+你看沙雕视频的证据"发回Meta 总部
- 通过刚才的"狗洞"把同样的信息传给你手机里的Meta App
就像你上课偷吃辣条,结果班长不仅告诉了老师,还用智能手表同步直播给了你家长...
【第五步:掉马甲现场】
最后的高潮来了:Meta App拿到"香肠码"后一核对:"哟,这不是二狗子的账号吗?原来他表面在背单词,实际在看村口王大爷跳广场舞啊!"
于是你在某音上刷到的广告突然全变成了:"震惊!50岁大爷靠这个舞步征服广场!同款舞鞋限时五折!"
为什么这么严重?
Meta利用了一个隐私保护系统没有预料到的技术漏洞--事实上,它们是专门为防止这种情况而设计的。
Meta设法做到这一点,即使在:
- 您没有使用该应用程序(但在后台打开了一个会话)。
- 您还没有在浏览器中登录您的帐户。
- 您正在以匿名模式浏览。
- 您正在使用VPN。
- 您将在每次会话结束时删除Cookie。
规模庞大
世界上访问量最大的网站中有22%受到影响。
- 在美国,17,223个使用Meta Pixel的网站和1,312个使用Yandex Metrica的网站在未经用户同意的情况下启动了此跟踪。
- 在8年(Yandex)和至少9个月(Meta)的时间里,数十亿用户在不知情的情况下被跟踪。
捕获的数据包括:
- 使用特定URL完成浏览历史记录
- 产品添加到购物车和购买
- 在网站上注册和填写表格
- 跨网站和应用程序的时间行为模式
- 直接链接到社交网络上的真实的身份
在以下情况下你不会受到影响:
- 您可以通过网络访问Facebook和Instagram,而无需在手机上安装应用程序
- 您在台式电脑上浏览或使用iOS(iPhone)
- 你总是在移动的上使用Brave浏览器或DuckDuckGo搜索引擎
法规解读
根据以下法规,Meta同时面临责任,从较轻到较重的严重程度(不包括电子隐私指令-这在这一点上是一个笑话):
- GDPR:处理个人数据进行广告个性化需要征得同意。Meta还违反了数据最小化和隐私设计原则。(Up至全球年营业额的4%)
- DSA(第26条):明确禁止基于从特殊类别的个人数据(例如,性取向、政治观点、健康数据)。
如果这些数据可以从用户在网站和应用程序上的互动中推断出来(考虑到违规的规模-达到全球访问量最大的网站的25%,这几乎是肯定的),罚款可能达到营业额的10%。
欧盟法院对此很清楚(“Fondas”C-184/20和Bundeskartellamt)。
Meta于2024年2月被宣布为VLOP(超大型在线平台),并已因涉及内容审核透明度、儿童保护和选举完整性的违规行为而接受调查。
- DMA(第5.2条):最具破坏性的一条:它明确禁止在未经用户明确同意的情况下在核心平台服务之间合并个人数据,如GDPR所定义。本地主机跟踪技术至少结合了Facebook和Instagram的数据,也可能包括WhatsApp和Messenger。
DMA具有最高的财务风险-罚款高达全球营业额的10%(164亿欧元),对于重复犯罪增加到20%。
Meta于2023年9月被指定为看门人,并于2025年4月收到其第一笔DMA罚款:2亿欧元,原因是其“支付或同意”模式。
毫无疑问,Meta会声称它已经得到了用户的同意,但事实是:它需要三个特定的同意来处理数据(GDPR),访问设备(ePrivacy),以及跨服务(DMA)组合联合收割机配置文件。它只要求一个-甚至与一个强制性的“支付或好”的选择。
不幸的是,Meta最近的一次罚款恰恰是因为它的“不给钱就好”的做法。
GDPR、DMA和DSA保护不同的法律的权利,因此每项规定下的处罚可以累积实施。
合并的理论最大风险约为320亿欧元(Meta全球年收入的4% + 6% + 10%,超过1640亿欧元)。
最高罚款以前从未同时适用,但人们可以说,这些坏人赢得了它。
有几个因素有利于开创这一先例:Meta的长期违规记录(它拥有欧洲GDPR罚款的记录),缺乏与监管调查的合作,鉴于其市场主导地位,该计划的系统性影响,以及绕过为用户建立的所有技术和法律的保护的明确意图。