연구자들이 메타와 야냑스가 안드로이드 사용자들의 브라우징 신원을 추적했다고 밝혔습니다.

연구자들은 메타와 러시아 회사인 Yandex가 자체 Android 앱을 사용하여 사용자들의 브라우징 데이터를 그들의 동의 없이 추적하고 있으며, 이는 프라이버시 및 보안 보호를 우회하는 것으로 밝혀졌습니다. 구글은 이러한 악용에 대해 조사하고 있다고 발표했습니다.

보고서에 따르면, 화요일에 업데이트 된 “안드로이드에서 로컬호스트를 통한 은밀한 웹-앱 추적”이라는 제목의 이 보고서에 따르면, 메타와 야후는 사용자들의 기기에서 로컬호스트 소켓을 통해 사용자들의 브라우저 메타데이터, 명령, 쿠키에 접근을 획득했다고 합니다.

“메타와 Yandex가 개발한 새로운 추적 방법이 수십억 명의 안드로이드 사용자에게 영향을 미칠 수 있다는 내용이 문서에 기술되어 있습니다.”라고 문서는 말하고 있습니다. “우리는 네이티브 안드로이드 앱들 – 페이스북, 인스타그램, 그리고 여러 Yandex 앱들, 특히 맵과 브라우저 – 이 추적 목적으로 고정된 로컬 포트에서 묵묵히 청취하고 있다는 것을 발견했습니다.”

이런 기술 회사들은 웹-앱 ID 공유 방식을 이용해 왔습니다 — Yandex는 2017년부터, 메타는 2024년 9월부터 — 익명 모드, 안드로이드의 권한 제어, 쿠키 삭제 등의 보호 조치를 우회하여 이를 이용했습니다. 연구자들이 이러한 내용을 공개한 후, 메타는 이 추적 방법을 사용하는 것을 중단했습니다.

Ars Technica에 따르면, 구글은 이 사건을 조사하고 있으며 메타와 야후는 그들의 플레이 마켓플레이스의 서비스 이용 약관을 위반했다고 주장했습니다.

야후는 이 연구에서 고려된 기능이 사용자의 개인정보를 수집하지 않으며, 그 유일한 목적은 더 개인화된 서비스를 제공하는 것이라고 밝혔습니다. 하지만 연구자들은 이와 다르게 주장하며 사용된 방법론의 위험성을 강조하고 있습니다.

“웹과 모바일 시스템에 존재하는 기본적인 보안 원칙 중 하나는 ‘샌드박싱’이라는 것입니다,”라며 이 발견의 연구원 중 한 명인 나르세오 발리나-로드리게즈가 Ars Technica와의 인터뷰에서 말했습니다. “모든 것이 샌드박스에서 실행되며, 그 위에서 실행되는 다른 요소들 사이에는 상호작용이 없습니다. 이 공격 경로가 허용하는 것은 모바일 컨텍스트와 웹 컨텍스트 사이에 존재하는 샌드박스를 깨는 것입니다. 존재하는 채널이 브라우저에서 일어나는 일들을 모바일 앱에서 실행되는 신원과 통신하게 했던 안드로이드 시스템을 허용했습니다.”

연구자들은 이러한 남용을 안드로이드에서만 발견했지만, iOS에서도 구현될 수 있음을 언급했습니다.

다른 배우들도 또한 안드로이드 사용자를 겨냥하고 있습니다. 며칠 전, 사이버 보안 연구원들은 사기꾼들이 SuperCard X라는 안드로이드 맬웨어를 통해 카드 데이터를 훔치고 있다고 밝혔습니다.