在睡眠中监控：Meta和Yandex如何将您的手机变成间谍

它始于一个发现，这个发现就像日常生活的喧嚣中的耳语一样不起眼。来自荷兰和西班牙的一组研究人员发现了 Meta（前身为 Facebook）和俄罗斯互联网公司 Yandex 多年来一直用来监视 Android 用户的方法。该技术非常复杂，甚至绕过了现代作系统的保护机制。这并非巧合，没有副作用。但要有针对性地突破现有的安全屏障 – 安静、高效、用户不可见。

这并不是关于一个被意外忽视的技术漏洞。这是关于故意利用 Android作系统的内部进程，就好像 Google 还没有收集足够的数据一样。该方法利用了所谓的“localhost”连接 – 设备的内部通信通道，实际上是为本地服务或开发人员准备的。这些端口允许程序在同一设备上相互通信，而无需连接到 Internet。但这正是 Meta 和 Yandex 的用武之地。

通过这些渠道，他们的应用程序能够在用户不注意的情况下从浏览器获取数据。即使应用程序没有被积极使用，它也会在后台保持活动状态，像不会挂断的电话一样监听。即使是隐身模式或删除 cookie 也没有提供任何保护。全球数百万用户所依赖的保护措施在那一刻失去了效力。本应让人们不可见的数字面纱变得具有渗透性。

️1.面纱背后的技术

这种间谍机制的核心是跟踪像素 – 嵌入在数百万个网站上的微小、不显眼的代码片段。它们通常用于分析、计算页面访问者、衡量广告成功。但是，当这些像素被赋予额外的功能时会发生什么——当它们不仅计数，而且可以监听、存储、链接时？

当用户访问此类页面时，会创建一个包含有关浏览行为信息的 Cookie。这些 cookie 最初是匿名的——它们不知道您是谁。他们只知道你在做什么。但这正是 Meta 和 Yandex 想要改变的。这些公司的 Android 应用程序——包括 Facebook、Instagram 以及 Yandex Maps、Browser、Navigator 等——在设备的某些端口的后台监听。

在那里，他们点击 cookie，将它们连接到登录的用户账户 - 从而将匿名冲浪个人资料转换为详细的个人行为模式。你是谁？您对什么感兴趣？即使你认为自己没有被观察到，你该怎么办？

特别背信弃义的细节：如果你认为自己在匿名冲浪，这种方法也有效。隐身模式、有针对性地删除 cookie，甚至使用 VPN——所有这些措施都被所使用的技术规避了。许多人认为他们所拥有的安全感只不过是一种幻觉。

️2.Meta 和 Yandex 的作用

虽然 Yandex 自 2017 年以来一直在使用这种方法，但 Meta 于 2024 年 9 月开始使用它。这并非巧合，而是技术发展和战略决策的结果。两家公司都利用了 Android 系统的弱点——该系统旨在实现灵活性，但也仍然容易受到攻击。

这些攻击不需要用户的任何特别同意，也不需要额外的授权。一切都是秘密进行的，大多数人都看不见。这些应用程序会监听您是否刚刚打开它们。应用程序和浏览器之间的连接经过特意设计，使其可以绕过既定的安全概念。

正如他们喜欢说的那样，收集的数据不仅用于一般分析或改进用户体验。他们实现了深入监控：访问了哪些页面，消费了哪些内容，存在哪些兴趣，哪些恐惧可能被触发。所有这些都流入了公司的简介中。这不是从外面观察——而是从内部观察。

️3.Brave 和 DuckDuckGo：态度的两个例外

在收集和评估个人数据已成为一种商业模式的数字世界中，只有少数人严重反对这一趋势。Brave 和 DuckDuckGo 就是其中的少数几个。两者都始终追求一个目标：将用户隐私视为宝贵的资产，而不是一个烦人的障碍。

Brave 是一款与加密货币世界密切相关的浏览器，打破了广告行业的通常机制。它不仅阻止了激进的跟踪器和侵入性的广告跟踪，还提供了一种替代模式：用户可以自愿观看广告，并以 BAT（基本注意力代币）的形式获得报酬。这创造了一种新的平衡：注意力作为一种货币，透明并由用户自己控制。

这种结构改变了提供者和消费者之间的权力关系。被剥削的不再是用户，而是能够做出有意识决策的人。因此，Brave 不仅仅是一个浏览器，而是一个不同互联网的模型：一个选择自由和财务参与齐头并进的互联网。凭借自己的钱包和其他功能，Brave 也是加密领域的先驱。

DuckDuckGo 也遵循一条明确的路线。不存储个人数据，不共享，不进行个性化跟踪。搜索引擎及其浏览器关注的是功能，而不是控制。该技术旨在根本不收集任何个人信息——不存在的信息不能被滥用。

这两个浏览器都清楚地表明还有其他选择 - 不是基于监控而是基于完整性的解决方案。

️4.科技界的反应

虽然 Meta 和 Yandex 在爆料发布后进行了反击并删除了部分代码，但仍然存在一个悬而未决的问题：有多少公司在我们不知道的情况下使用类似的方法？长期以来，数据流太复杂、太复杂，以至于单个用户无法完全理解它们。

Meta 使用的代码消失了——几乎与调查公布同时。这是承认还是纯粹的巧合仍然没有定论。Yandex 几乎没有对此发表评论。这些陈述听起来很例行公事——没有重新思考的迹象，也没有真正的洞察力。

所以问题仍然存在：从技术上讲，许多事情是可能的，但在法律上几乎没有具体意义。法律落后于发展，责任来回转移。在这个差距中，我们开始称之为“正常”的事情发生了——对我们隐私的侵犯悄无声息地正常化。

️5.这对您意味着什么？

当您今天安装应用程序时，您对它的信任程度比您想象的要高。您不仅可以访问您的联系人、照片或移动数据，还可以打开您甚至不知道存在的门。围绕 Meta 和 Yandex 的启示表明，这些门可以被多么深入和微妙地使用。

这正是为什么值得更加注意自己的数字习惯的原因。浏览器的选择不是一个细节，但有助于决定您想要保留多少控制权 - 或者愿意放弃多少控制权。

Brave 和 DuckDuckGo 提供工具，没有奇迹。它们创造了您可以更安全地移动的空间 - 但它们也需要您有意识地使用。看看，检查你正在使用什么，问问自己这种舒适是否物有所值。

️6.展望未来