Localhost tracking
- Meta는 “localhost tracking” 이라는 혁신적이지만 논란이 많은 기법을 통해, Android 샌드박스 시스템이 의도적으로 막은 사용자 자원식별 보호책을 우회함
- 페이스북/인스타그램 앱이 백그라운드에서 휴대폰 내 특정 TCP/UDP 포트를 열어 ‘리스닝(수신 대기)’ 상태로 유지됨 (로그인 필수)
- 사용자가 같은 기기에서 브라우저로 웹사이트 접속(예: 뉴스, 쇼핑몰) 시, 해당 사이트에 Meta Pixel이 설치되어 있으면 쿠키와 활동 정보가 즉시 수집됨
- VPN, 시크릿 모드, 쿠키 삭제 등 사생활 보호 수단을 써도 효과 없음
브라우저의 Meta Pixel 스크립트는 WebRTC(원래는 영상/음성 통신용) 와 SDP Munging이라는 트릭을 활용, _fbp 쿠키를 앱에 직접 전송 동시에 동일 정보를 Meta 서버에도 별도로 송신해, 온라인·오프라인 양방향 연동 추적 가능 Facebook/Instagram 앱은 _fbp 값을 받아, 계정 고유 식별자와 함께 Meta GraphQL 서버에 다시 전송 - 그 결과 웹브라우저 방문 ID와 실제 Facebook/Instagram 사용자 계정이 웹 방문 활동과 실제 신원을 1:1 매핑하여 강력하게 결합됨
왜 문제가 심각한가
- 안드로이드 설계상 금지된 로컬포트청취/앱간 은닉 통신을 편법적으로 우회
- 사용자가 앱을 켜지 않아도, 웹브라우저에 로그인하지 않아도, VPN·시크릿모드·쿠키삭제 등 방어수단 소용 없음
- GDPR 등 개인정보 규정 준수를 위한 명확하고 충분한 사전 동의 없이 정보 수집·연계
- 22%의 세계 Top 사이트가 영향권, 9개월(메타)/8년(Yandex) 동안 수십억 명 동의 없는 추적
- 수집·결합 정보: 전체 브라우징 히스토리, 장바구니·구매내역, 웹사이트 폼 작성, 시간대별 행동패턴, 실명 계정 연결 등
- iOS 및 PC 사용·앱 미설치·Brave/DuckDuckGo 브라우저로만 예외
See also
Favorite site