Нашлось все. «Яндекс» годами следил, какие сайты посещают пользователи Android — даже в режиме инкогнито
Новое исследование раскрыло, каким образом «Яндекс» следил за пользователями: через скрытые возможности Android. Особенности архитектуры операционной системы позволяли компании выяснить, какие сайты человек посещает в любых браузерах, даже в режиме инкогнито. Это годами позволяло повышать эффективность рекламы, которую видели десятки миллионов человек. В прошлом году эту лазейку начали применять и специалисты Meta*. IT-гиганты утверждают, что просто задействовали найденную техническую возможность, не увидев в политиках Google прямого запрета. Обе компании уже отключили этот механизм, что может понизить качество таргетирования рекламы на их платформах.
Иллюстрация сгенерирована Midjourney
Как «Яндекс» следил за пользователями Android
«Яндекс» следил за операциями пользователей Android уже много лет, фиксируя все посещаемые сайты — даже если те открывали их в Chrome или Firefox в режиме инкогнито или без авторизации. Как выяснила группа исследователей, опубликовавшая результаты своей работы на GitHub, такая слежка велась с 2017 года через код «Яндекс.Метрики», встраиваемый подавляющим большинством сайтов в России и многих странах СНГ. В сентябре 2024 года по схожей схеме начала действовать и Meta* — через используемый сайтами инструмент рекламной аналитики Meta Pixel.
Об авторах
Исследование подготовила группа специалистов по кибербезопасности и защите данных. Среди авторов — аспиранты Аникет Гириш, Нипуна Вирасекара и доцент Нарсео Вальина-Родригес из института IMDEA Networks в Мадриде, а также ассистент-профессор Гюнеш Акар, входящий в группу цифровой безопасности исследовательского центра iHub при Университете Радбауд в Нидерландах. В работе также участвовал аспирант Тим Влумменс из криптографической лаборатории COSIC при Католическом университете Лёвена в Бельгии.
Следил ли «Яндекс» за пользователями? Да: его приложения с помощью системного интерфейса Android получали доступ к активности других приложений — в том числе любых браузеров, включая Chrome. Когда пользователь открывал сайт с «Яндекс.Метрикой», та генерировала сигнал, который перехватывался одним из установленных на смартфоне приложений компании (например, «Навигатором»), и пересылался на сервер. В результате «Яндекс» получал информацию о сайте, который человек в этот момент просматривал.
Речь не идет о взломе системы. Использовалась стандартная функция Android, позволяющая приложению узнать, какие другие приложения установлены на устройстве и с кем они обмениваются данными. Но в связке с трекерами на миллионах сайтов это превратилось в мощный инструмент слежки «Яндекса» за действиями пользователя за пределами экосистемы российского IT-гиганта. Не работала схема только в случае, если пользователь не вошел ни в одно из приложений поисковика на смартфоне со своим аккаунтом.
По данным исследователей, Meta применила аналогичный подход только в сентябре 2024 года. При этом пользователи также не были проинформированы о новом способе сбора данных.
Почему Android не защитил пользователей
«Яндекс.Метрика» и Meta Pixel использовали особенность архитектуры Android, которая изначально не рассматривалась как угроза приватности. Речь идет о локальных портах — внутренних каналах связи между приложениями на устройстве. Эти порты технически не выходят в интернет, и потому обычно считаются безопасными.
Что такое «Яндекс.Метрика» и Meta Pixel
«Яндекс.Метрика» — это бесплатный сервис аналитики от «Яндекса», который позволяет владельцам сайтов отслеживать поведение посетителей: от количества просмотров до глубины прокрутки страниц. Эти данные помогают оценивать эффективность рекламы, улучшать структуру сайта и повышать конверсии. «Метрика» тесно интегрирована с рекламной системой «Яндекс.Директ» и широко используется в России и странах СНГ. Meta Pixel (ранее известный как Facebook** Pixel) — это инструмент от Meta, который позволяет отслеживать действия пользователей на сайте после взаимодействия с рекламой в Facebook и Instagram**. Он помогает измерять эффективность рекламных кампаний, оптимизировать их и создавать аудитории для ретаргетинга. По оценкам исследователей, Meta Pixel используется примерно на 5,8 миллиона сайтов, а «Яндекс.Метрика» — на 3 миллионах.
Когда пользователь открывал на Android-устройстве сайт со встроенным скриптом (мини-программой) «Яндекса» или Meta, скрипт отправлял сигнал на локальный порт. Установленное приложение — например, «Яндекс.Карты» или Facebook — принимало этот сигнал и передавало в системы компании уникальный идентификатор, привязанный к устройству. Это позволяло платформам сопоставлять посещения сайтов с конкретным пользователем, зарегистрированным в их приложениях.
Как работала слежка «Яндекса» и Meta. Иллюстрация из исследования
Слежка стала возможна из-за того, что Android по умолчанию не ограничивает такие запросы, а браузеры вроде Chrome и Firefox не блокируют их. Этим и воспользовались разработчики, превратив внутреннюю техническую функцию в механизм сбора дополнительных данных для таргетирования рекламы и контентных рекомендаций.
Нишевые браузеры, ориентированные на конфиденциальность, такие как Brave или DuckDuckGo, уже системно защищают пользователей от такой слежки. Но подавляющее большинство владельцев Android-смартфонов остаются уязвимыми.
«Мы думали, что так можно»
Meta и «Яндекс» в комментариях для издания Ars Technica признали факты, изложенные в исследовании, но постарались минимизировать их значимость. Компании утверждают, что просто использовали имевшиеся в операционной системе Google технические возможности, не увидев в политике платформы прямого запрета на подобную практику. Обе прекратили ее и начали консультации с Google.
Meta отметила, что сбор данных на Android был запущен по причине «недопонимания» правил конфиденциальности:
Мы ведем диалог с Google, чтобы прояснить возможные недопонимания в трактовке политики платформы. Как только нам стало известно о проблеме, мы приостановили использование этой функции и начали работать с Google над урегулированием ситуации.
«Яндекс» также заявил о добровольном отключении механизма и дистанцировался от обвинений в слежке:
Компания строго соблюдает стандарты защиты данных и не осуществляет деанонимизацию пользователей. Упомянутая функция не собирает конфиденциальную информацию и предназначена исключительно для улучшения персонализации в наших приложениях.
Google, в свою очередь, назвал происходящее грубым нарушением правил своей платформы:
Разработчики, упомянутые в этом расследовании, используют функции, доступные в большинстве браузеров как на iOS, так и на Android, в несанкционированных целях, что грубо противоречит нашим принципам обеспечения безопасности и конфиденциальности. Мы уже внедрили ряд изменений, направленных на нейтрализацию этих агрессивных методов, начали внутреннее расследование и находимся в прямом контакте с вовлеченными сторонами.
Mozilla, разработчик браузера Firefox, отреагировала жестче остальных. В компании назвали действия Meta и «Яндекса» «серьезным нарушением политики запрета отслеживания» и заверили, что работают над техническим решением для защиты пользователей.
Исследователи, в свою очередь, подчеркивают: озвученные компаниями меры носят поверхностный характер, а сам механизм легко адаптировать для обхода ограничений в будущем, в том числе и на платформе iOS. По их мнению, необходимо реализовать на уровне операционной системы Android запрет на доступ мобильных приложений к локальным портам браузера.
Новый уровень таргетинга
Встроив в код своих аналитических счетчиков — «Яндекс.Метрики» и Meta Pixel — функцию доступа к локальному порту Android, обе компании получили возможность собирать данные о действиях пользователей на сторонних сайтах. Даже если пользователь открыл браузер в режиме инкогнито, не был авторизован в аккаунте и запретил отслеживание, данные все равно поступали.
Это позволяло российской и американской платформам точнее понимать интересы пользователей, показывать более релевантную рекламу и повышать отдачу от цифровых кампаний. Фактически это следующий уровень — глубже, чем просто аналитика на основе куки или идентификатора устройства.
Но такой подход идет вразрез не только с элементарной этикой, но и с логикой современных ограничений на сбор данных. Сегодня в большинстве юрисдикций действует принцип согласия: прежде чем собирать личную информацию, пользователь должен быть четко проинформирован и дать разрешение. Здесь же сбор происходил без явного уведомления. В юрисдикциях с жесткими нормами, такими как европейский GDPR или закон штата Калифорния о конфиденциальности потребителей (CCPA), компании могут столкнуться с неприятными последствиями.
Для рекламодателей, агентств и владельцев сайтов ситуация неоднозначна. С одной стороны вскрывшиеся факты говорят о технических возможностях платформ и потенциальной эффективности их инструментов. С другой — растущие риски: юридические претензии, потеря доверия со стороны аудитории и ужесточение регулирования технологий, которые все больше становятся «черным ящиком».
* Корпорация Meta признана в РФ экстремистской, ее деятельность запрещена.
Новости
Неделя рекламы 
Кейсы 
How to 
Интервью и дискуссии 
Маркетинговые исследования 
Просто о сложном 
Энциклопедия обмана 
Проверено ADPASS 
Рекламные кампании