Ernest Deng-Wei Chiang on Facebook

✴️ Meta localhost tracking 即使你開了 VPN、隱私模式 照樣追蹤

- Meta 開發的 localhost tracking 技術能繞過 Android 沙盒保護，即使用戶使用 VPN、隱私模式、刪除 cookies 仍可追蹤行為 [1]
- 技術原理透過 Facebook/Instagram app 在背景監聽 TCP port 12387/12388 和 UDP port 12580-12585，接收瀏覽器傳來的追蹤資料 [2]
- Meta Pixel 使用 WebRTC STUN SDP Munging 技術將 _fbp cookie 偷偷傳送給手機內的Meta 原生 app [2]

- 此技術影響全球 22% 最熱門網站，Meta Pixel 嵌入超過 580 萬個網站 [3]
- Yandex 從 2017 年就開始使用類似技術，Meta 則從 2024 年 9 月開始實施 [4]
- Chrome 137 版本於 2025 年 5 月 26 日發布，加入阻擋 SDP Munging 的防護機制 [5]
- Firefox 139 版本也將加入類似的端口阻擋功能，Brave 瀏覽器早已內建相關防護 [5]

- 研究團隊發現惡意第三方 app 也能攔截這些 localhost 通訊，造成額外的隱私風險 [6]
- Meta 在研究公開後於 2025 年 6 月 3 日停止此技術，並幾乎完全移除相關程式碼 [5]
- 這項技術違反 Android 原本設計的應用程式隔離原則，屬於系統級的安全漏洞利用 [6]
- WebRTC 原本用於視訊通話，Meta 卻將其重新包裝成跨應用程式的資料傳輸通道 [2]

-
- 原則歸原則，繞路歸繞路，侏羅紀公園，生命自然會找到出路。
-

[1] https://www.zeropartydata.es/...
[2] Covert Web-to-App Tracking via Localhost on Android
[3]

Meta Bypassed Privacy Protections to Track Android U...

[4] https://www.ru.nl/...
[5] https://www.theregister.com/...
[6] https://ppc.land/...

traveller tdi privacy localhost

+

@davecode - 西班牙IMDEA Networks Institute、荷蘭Radboud Un...

所以用 Firefox ，搭配它的 Facebook container

把META APP刪了就沒這問題了

一樣吧
畢竟是meta