メタとヤンデックス、Androidユーザーの閲覧データを匿名化解除

メタとロシアに拠点を置くヤンデックスが、数百万のウェブサイトに埋め込んだトラッキングコードを通じて、Androidユーザーのウェブ閲覧識別子を匿名化解除していることが、研究者によって明らかになった。このコードは、メタピクセルおよびヤンデックスメトリカトラッカーに実装されており、Chromeをはじめとするブラウザがデバイスにインストールされたネイティブアプリに一意の識別子を密かに送信するよう、正当なインターネットプロトコルを悪用している。グーグルはこの問題を調査中と述べているが、この手法によりメタとヤンデックスは、一時的なウェブ識別子を恒久的なモバイルアプリのユーザーIDに変換することが可能となっている。

この秘密のトラッキング行為は、Androidオペレーティングシステムおよびその上で動作するブラウザが提供する基本的なセキュリティおよびプライバシー保護を回避するものだ。たとえば、Androidのサンドボックス機能は、プロセスを分離してOSや他のインストール済みアプリとの相互作用を防ぎ、機密データや特権システムリソースへのアクセスを遮断する。また、すべての主要ブラウザに組み込まれている状態分割やストレージ分割などの防御機能は、サイトのクッキーやウェブサイトに関連するデータを、トップレベルドメインごとに独自のコンテナに保存し、他のサイトからアクセスできないようにする。しかし、メタとヤンデックスのトラッキング手法は、これらの保護をすり抜け、ユーザーのプライバシーを侵害している。