Meta beim Missbrauch von Android zum Nutzer-Ausschnüffeln erwischt

Meta und Yandex haben heimlich eine Tracking-Methode genutzt, die Android-Nutzer trotz Datenschutzmaßnahmen identifizieren kann. Die Technik umgeht Browser-Schutzfunktionen und verknüpft Webseitenbesuche mit App-Identitäten.

Facebook-Mutterkonzern ohne Skrupel

Millionen Android-Nutzer wurden möglicherweise jahrelang ohne ihr Wissen überwacht. Sicherheitsforscher haben aufgedeckt, dass Meta und der russische Internetkonzern Yandex eine raffinierte Tracking-Methode eingesetzt haben, um die Privatsphäre von Android-Nutzern zu umgehen und ihre Webaktivitäten zu deanonymisieren.

Die Tracking-Codes, die in den weitverbreiteten Meta Pixel- und Yandex Metrica-Skripten enthalten sind, missbrauchen legitime Internetprotokolle, um Webbrowser dazu zu bringen, eindeutige Identifikatoren heimlich an native Apps zu senden, die auf dem Gerät installiert sind. Diese Technik ermöglichte es Meta und Yandex, kurzlebige Web-Identifikatoren in dauerhafte mobile App-Identitäten umzuwandeln.

Das Besondere an dieser Methode: Sie funktioniert selbst dann, wenn Nutzer den Inkognito-Modus verwenden, Cookies löschen oder andere Datenschutzmaßnahmen ergreifen. Die Technik umgeht grundlegende Sicherheits- und Datenschutzfunktionen sowohl des Android-Betriebssystems als auch der Browser. Laut LocalMess (via Ars Technica), das diese Technik detailliert untersucht hat, kommunizieren die Tracking-Skripte über spezielle Ports mit nativen Apps wie Facebook, Instagram oder verschiedenen Yandex-Anwendungen.

Localhost-Verbindungen als Schwachstelle

Der Kern des Problems liegt in der Art und Weise, wie Android mit sogenannten Localhost-Verbindungen umgeht. Diese erlauben es Apps, auf bestimmten lokalen Ports zu lauschen, ohne dass dafür eine Benutzererlaubnis erforderlich ist. Bei Meta funktioniert der Prozess folgendermaßen: Wenn ein Nutzer Facebook oder Instagram auf seinem Android-Gerät installiert hat und dann eine Website mit dem Meta Pixel besucht, sendet das Skript den sogenannten "_fbp"-Cookie über WebRTC an die App. Diese verknüpft dann den Cookie mit der Benutzeridentität und sendet diese Informationen an Meta-Server.

Yandex nutzt eine ähnliche, aber technisch leicht unterschiedliche Methode, die bereits seit 2017 im Einsatz ist. Die Yandex-Apps empfangen Daten von Websites mit dem Yandex Metrica-Skript und verknüpfen diese mit gerätespezifischen Identifikatoren wie der Android-Advertising-ID (AAID). Während Meta auf WebRTC-Verbindungen setzt, verwendet Yandex eine direktere Kommunikation über HTTP-Anfragen an lokale Ports.

Millionen Websites betroffen

Die Auswirkungen dieser Tracking-Methode sind erheblich. Meta Pixel ist auf über 5,8 Millionen Websites eingebettet, während Yandex Metrica auf fast drei Millionen Websites präsent ist. Bei einer Untersuchung der Top-100.000-Websites fanden die Forscher, dass Meta Pixel auf über 15.000 Websites aktiv war und in mehr als 75 Prozent der Fälle ohne explizite Nutzereinwilligung Daten sammelte.

Besonders beunruhigend ist, dass weder Meta noch Yandex diese Tracking-Methode öffentlich dokumentiert haben. Seitenbetreiber, die diese Skripte einsetzen, waren sich der Hintergrundfunktionen nicht bewusst. In Entwicklerforen fanden sich bereits seit September 2024 verwunderte Fragen zu den mysteriösen Localhost-Verbindungen des Meta Pixels. Viele Entwickler berichteten von unerwarteten Netzwerkverbindungen, die ihre Websites zu lokalen IP-Adressen aufbauten, ohne zu verstehen, warum dies geschah.

Google und Browser reagieren

Nach der Aufdeckung durch die Sicherheitsforscher hat Google erklärt, dass dieses Verhalten gegen die Nutzungsbedingungen des Play Store und die Datenschutzerwartungen der Android-Nutzer verstößt. "Die Entwickler in diesem Bericht nutzen Funktionen, die in vielen Browsern unter iOS und Android vorhanden sind, auf unbeabsichtigte Weise, die eindeutig gegen unsere Sicherheits- und Datenschutzprinzipien verstößt", erklärte ein Google-Vertreter.

Meta hat als Reaktion auf die Enthüllungen die Funktion pausiert. "Wir befinden uns in Gesprächen mit Google, um ein mögliches Missverständnis bezüglich der Anwendung ihrer Richtlinien zu klären", teilte ein Meta-Sprecher mit. "Nach Kenntnisnahme der Bedenken haben wir beschlossen, die Funktion zu pausieren, während wir mit Google an der Lösung des Problems arbeiten."

Auch Yandex hat erklärt, die Praxis einzustellen und steht ebenfalls mit Google in Kontakt. Das Unternehmen betonte: "Yandex hält sich strikt an Datenschutzstandards und deanonymisiert keine Nutzerdaten. Die betreffende Funktion sammelt keine sensiblen Informationen und dient ausschließlich der Verbesserung der Personalisierung innerhalb unserer Apps."

Verschiedene Browser haben bereits Maßnahmen ergriffen, um diese Art von Tracking zu blockieren. DuckDuckGo und Brave blockieren bereits die meisten der betroffenen Domains. Chrome hat in einer Beta-Version vom Mai 2025 eine Abschwächung eingeführt, die die von Meta Pixel verwendete Art von SDP-Munging blockiert. Firefox-Entwickler Mozilla arbeitet ebenfalls an Lösungen bzw. Gegenmaßnahmen.

Die Forscher warnen jedoch, dass die aktuellen Fixes so spezifisch für den Code in den Meta- und Yandex-Trackern sind, dass sie mit einem einfachen Update leicht umgangen werden könnten. Eine umfassendere Lösung würde erfordern, dass Android die Art und Weise überarbeitet, wie es den Zugriff auf lokale Ports handhabt.

Was haltet ihr von dieser heimlichen Tracking-Methode? Nutzt ihr Facebook oder Instagram auf eurem Android-Gerät, und macht euch diese Enthüllung Sorgen? Teilt eure Gedanken dazu in den Kommentaren mit uns!

Versteckte Optionen Facebook & Instagram ohne Werbetracking nutzen
Siehe auch: