Local Mess - Meta Pixel user tracking

Felbojdult az internet, mert kiderült egy módszer amivel a Facebook/Meta és a Yandex is követte az Android felhasználókat.
A módszer nem túl kifinomult:
- app feltesz
- user bejelentkezik
- app nyit TCP||UDP portot localhost-on
- user elmegy random pornó oldalra, ami beágyazva tartalmazza a Meta/Yandex metrikáit
- Meta/Yandex/etc JS scriptek csatlakoznak localhost-ra és elküldik az App-nak, hogy milyen weboldalt látogat a user

Ami meglep benne, hogy ez hogyan nem verte ki senki szemét eddig? Azt mondják a Yandex évek óta csinálta.
Natív app hallgat X porton, ezt hogyan lehetne látni? Vagy esetleg tiltani? Senki sem nézi meg, hogy miket nyitogat egy app?
Random weboldal JS script-je csatlakozik localhost-ra? Már évekkel ezelőtt arról ment a polémia, hogy ezt nem lenne szabad, mert a Node, npm, akármi más local service-hez hozzáférni mekkora security risk. Ezek szerint azóta nem volt előrelépés a böngészőknél?

https://localmess.github.io/
https://www.theregister.com/2025/06/03/meta_pauses_android_tracking_tec…
https://telex.hu/techtud/2025/06/18/inkognito-vpn-tudta-meta-nyomkovete…

( end | 2025. 06. 18., sze – 08:32 )

Szerkesztve: 2025. 06. 18., sze – 08:34

És az Android app-ok által folyamatosan nyitogatott UDP-portok IPv6-on? (A tűzfalnaplók megtekintésén túl, - lehet ezekkel kezdeni is valamit?)

https://superuser.com/questions/1823747/block-connections-to-localhost-…
Ez azt sugallja, hogy Safari tudja ezt a feature-t. De kicsit utánakeresve csak azt találtam, hogy a Safari a TLS hiányára panaszkodik localhost esetén, ami nem egészen ugyanaz, hogy blokkoljunk minden localhost irányába menő forgalmat JS-ből.

Amellett ne menjünk el, hogy ott van a kis mellékszál az SDP munginggal.

Egy Webrtc stun (lényegében NAT traversal tunnel) indítási üzenet tartalmát berhelték át. A leírás szerint valószínűleg az volt a cél vele, hogy a böngésző debug nézetben ne látszódjon a kimenő hívás. De gyanítom a szigorú cors ellenőrzések, https-only szabály és különböző böngészőkben esetleg meglévő localhost blokkolás kikerülésében is jócskán besegített.

Régóta vágyok én, az androidok mezonkincsére már!

( XMI | 2025. 06. 18., sze – 10:50 )

<pol>

Zuck: Vancebácsi, Vancebácsi! Segíts! A csúnyaeu megint meg fog bírságolni minket!

Vance: Mesélj! Ezúttal mennyire akarnak lehúzni a semmirekellők?

Zuck: Hát még konkrét összeg az niincs...

Vance: Még nincs ítélet az ügyetekben?

Zuck: ...igazából még nincs ... olyan konkrét... ügy...

Vance: Dehát ha nincs ügy, nincs gond, nem?!

Zuck: De ebből lesz, az tuti.

Vance: Mi az hogy "ebből"?! Mit basztatok el? Feltörtek titeket?

Zuck: ... technikailag ... izé ... hát fel nem törtek minket... azt basztuk el, hogy nem elég alaposan rejtettük el...

Vance: Ja, hogy úgy!

Zuck: ... de ahhoz elég alaposan, hogy ne tudjuk letagadni, hogy megpróbáltuk

</pol>

Régóta vágyok én, az androidok mezonkincsére már!

A csúnyaeu megint meg fog bírságolni minket!

Dehogyis. Ez nem probléma. Inkább elbarterezik, hogy valami EUs szerv által kijelölt úgynevezett "NGO(-k) által" gyártott cenzúra listán levő tartalmakat / embereket blokkoljanak, egy másik listán levő tartalmakat pedig toljanak bele minden látogató arcába.

( dlaszlo | 2025. 06. 18., sze – 18:16 )

Szerkesztve: 2025. 06. 18., sze – 18:17

A jó ... rokonukat... Komolyan olyan bírságot kellene adni ezek után nekik, hogy abba belerokkanjanak, de szó szerint, és akkor mindenki visszavenne..

Ezért nem tettem fel a facebook-ot a telefonomra, alapból lehet érezni, hogy annak ott rohadtul semmi keresni valója. Tudom, van helyette 5 másik alkalmazás, ami adatokat lopkod.