wiki:securite:menaces:meta_pixel
Différences
Ci-dessous, les différences entre deux révisions de la page.
| Les deux révisions précédentesRévision précédenteProchaine révision | Révision précédente | ||
| wiki:securite:menaces:meta_pixel [2025/06/14 12:41] – palas | wiki:securite:menaces:meta_pixel [2025/06/14 13:12] (Version actuelle) – palas | ||
|---|---|---|---|
| Ligne 19: | Ligne 19: | ||
| Les applications Facebook et Instagram, déjà connectées à un compte utilisateur, | Les applications Facebook et Instagram, déjà connectées à un compte utilisateur, | ||
| + | |||
| + | --- | ||
| + | |||
| + | Ce type de contournement ne repose ni sur une faille critique ni sur un bug, mais sur un comportement structurel d’Android. Le système permet à n’importe quelle application disposant de l’autorisation « Internet » – ce qui est quasiment toujours le cas – d’écouter du trafic réseau sur l’adresse locale 127.0.0.1 sans restriction, | ||
| + | |||
| + | Pendant des mois, les principaux navigateurs Android – Chrome, Edge, Firefox – ont exécuté les scripts concernés sans bloquer ce type de comportement. Seuls Brave et DuckDuckGo filtraient déjà les connexions aux ports locaux sensibles ou les domaines connus pour ce genre d’usage. Ce n’est que fin mai 2025 que Google a intégré un correctif dans Chrome 137 pour bloquer certains ports et limiter les abus liés à la modification des messages SDP dans WebRTC (le fameux « SDP munging »). | ||
| + | |||
| + | Quelques jours plus tard, Meta modifiait déjà son script pour contourner ces nouvelles mesures de protection. | ||
| + | |||
| (lire l' | (lire l' | ||
| + | |||
| + | <ifauth @contrib> | ||
| + | ---- | ||
| + | Nombre de visiteurs : {{counter}} | ||
| + | ---- | ||
| + | </ | ||
| + | |||
wiki/securite/menaces/meta_pixel.1749904875.txt.gz · Dernière modification : de palas