Meta beim Missbrauch von Android zum Nutzer-Ausschnüffeln erwischt
Meta und Yandex haben heimlich eine Tracking-Methode genutzt, die Android-Nutzer trotz Datenschutzmaßnahmen identifizieren kann. Die Technik umgeht Browser-Schutzfunktionen und verknüpft Webseitenbesuche mit App-Identitäten.
Die Tracking-Codes, die in den weitverbreiteten Meta Pixel- und Yandex Metrica-Skripten enthalten sind, missbrauchen legitime Internetprotokolle, um Webbrowser dazu zu bringen, eindeutige Identifikatoren heimlich an native Apps zu senden, die auf dem Gerät installiert sind. Diese Technik ermöglichte es Meta und Yandex, kurzlebige Web-Identifikatoren in dauerhafte mobile App-Identitäten umzuwandeln.
Das Besondere an dieser Methode: Sie funktioniert selbst dann, wenn Nutzer den Inkognito-Modus verwenden, Cookies löschen oder andere Datenschutzmaßnahmen ergreifen. Die Technik umgeht grundlegende Sicherheits- und Datenschutzfunktionen sowohl des Android-Betriebssystems als auch der Browser. Laut LocalMess (via Ars Technica), das diese Technik detailliert untersucht hat, kommunizieren die Tracking-Skripte über spezielle Ports mit nativen Apps wie Facebook, Instagram oder verschiedenen Yandex-Anwendungen.
Yandex nutzt eine ähnliche, aber technisch leicht unterschiedliche Methode, die bereits seit 2017 im Einsatz ist. Die Yandex-Apps empfangen Daten von Websites mit dem Yandex Metrica-Skript und verknüpfen diese mit gerätespezifischen Identifikatoren wie der Android-Advertising-ID (AAID). Während Meta auf WebRTC-Verbindungen setzt, verwendet Yandex eine direktere Kommunikation über HTTP-Anfragen an lokale Ports.
Besonders beunruhigend ist, dass weder Meta noch Yandex diese Tracking-Methode öffentlich dokumentiert haben. Seitenbetreiber, die diese Skripte einsetzen, waren sich der Hintergrundfunktionen nicht bewusst. In Entwicklerforen fanden sich bereits seit September 2024 verwunderte Fragen zu den mysteriösen Localhost-Verbindungen des Meta Pixels. Viele Entwickler berichteten von unerwarteten Netzwerkverbindungen, die ihre Websites zu lokalen IP-Adressen aufbauten, ohne zu verstehen, warum dies geschah.
Meta hat als Reaktion auf die Enthüllungen die Funktion pausiert. "Wir befinden uns in Gesprächen mit Google, um ein mögliches Missverständnis bezüglich der Anwendung ihrer Richtlinien zu klären", teilte ein Meta-Sprecher mit. "Nach Kenntnisnahme der Bedenken haben wir beschlossen, die Funktion zu pausieren, während wir mit Google an der Lösung des Problems arbeiten."
Auch Yandex hat erklärt, die Praxis einzustellen und steht ebenfalls mit Google in Kontakt. Das Unternehmen betonte: "Yandex hält sich strikt an Datenschutzstandards und deanonymisiert keine Nutzerdaten. Die betreffende Funktion sammelt keine sensiblen Informationen und dient ausschließlich der Verbesserung der Personalisierung innerhalb unserer Apps."
Verschiedene Browser haben bereits Maßnahmen ergriffen, um diese Art von Tracking zu blockieren. DuckDuckGo und Brave blockieren bereits die meisten der betroffenen Domains. Chrome hat in einer Beta-Version vom Mai 2025 eine Abschwächung eingeführt, die die von Meta Pixel verwendete Art von SDP-Munging blockiert. Firefox-Entwickler Mozilla arbeitet ebenfalls an Lösungen bzw. Gegenmaßnahmen.
Die Forscher warnen jedoch, dass die aktuellen Fixes so spezifisch für den Code in den Meta- und Yandex-Trackern sind, dass sie mit einem einfachen Update leicht umgangen werden könnten. Eine umfassendere Lösung würde erfordern, dass Android die Art und Weise überarbeitet, wie es den Zugriff auf lokale Ports handhabt.
Was haltet ihr von dieser heimlichen Tracking-Methode? Nutzt ihr Facebook oder Instagram auf eurem Android-Gerät, und macht euch diese Enthüllung Sorgen? Teilt eure Gedanken dazu in den Kommentaren mit uns!
Versteckte Optionen Facebook & Instagram ohne Werbetracking nutzen
Siehe auch:
Facebook-Mutterkonzern ohne Skrupel
Millionen Android-Nutzer wurden möglicherweise jahrelang ohne ihr Wissen überwacht. Sicherheitsforscher haben aufgedeckt, dass Meta und der russische Internetkonzern Yandex eine raffinierte Tracking-Methode eingesetzt haben, um die Privatsphäre von Android-Nutzern zu umgehen und ihre Webaktivitäten zu deanonymisieren.Die Tracking-Codes, die in den weitverbreiteten Meta Pixel- und Yandex Metrica-Skripten enthalten sind, missbrauchen legitime Internetprotokolle, um Webbrowser dazu zu bringen, eindeutige Identifikatoren heimlich an native Apps zu senden, die auf dem Gerät installiert sind. Diese Technik ermöglichte es Meta und Yandex, kurzlebige Web-Identifikatoren in dauerhafte mobile App-Identitäten umzuwandeln.
Das Besondere an dieser Methode: Sie funktioniert selbst dann, wenn Nutzer den Inkognito-Modus verwenden, Cookies löschen oder andere Datenschutzmaßnahmen ergreifen. Die Technik umgeht grundlegende Sicherheits- und Datenschutzfunktionen sowohl des Android-Betriebssystems als auch der Browser. Laut LocalMess (via Ars Technica), das diese Technik detailliert untersucht hat, kommunizieren die Tracking-Skripte über spezielle Ports mit nativen Apps wie Facebook, Instagram oder verschiedenen Yandex-Anwendungen.
Localhost-Verbindungen als Schwachstelle
Der Kern des Problems liegt in der Art und Weise, wie Android mit sogenannten Localhost-Verbindungen umgeht. Diese erlauben es Apps, auf bestimmten lokalen Ports zu lauschen, ohne dass dafür eine Benutzererlaubnis erforderlich ist. Bei Meta funktioniert der Prozess folgendermaßen: Wenn ein Nutzer Facebook oder Instagram auf seinem Android-Gerät installiert hat und dann eine Website mit dem Meta Pixel besucht, sendet das Skript den sogenannten "_fbp"-Cookie über WebRTC an die App. Diese verknüpft dann den Cookie mit der Benutzeridentität und sendet diese Informationen an Meta-Server.Yandex nutzt eine ähnliche, aber technisch leicht unterschiedliche Methode, die bereits seit 2017 im Einsatz ist. Die Yandex-Apps empfangen Daten von Websites mit dem Yandex Metrica-Skript und verknüpfen diese mit gerätespezifischen Identifikatoren wie der Android-Advertising-ID (AAID). Während Meta auf WebRTC-Verbindungen setzt, verwendet Yandex eine direktere Kommunikation über HTTP-Anfragen an lokale Ports.
Millionen Websites betroffen
Die Auswirkungen dieser Tracking-Methode sind erheblich. Meta Pixel ist auf über 5,8 Millionen Websites eingebettet, während Yandex Metrica auf fast drei Millionen Websites präsent ist. Bei einer Untersuchung der Top-100.000-Websites fanden die Forscher, dass Meta Pixel auf über 15.000 Websites aktiv war und in mehr als 75 Prozent der Fälle ohne explizite Nutzereinwilligung Daten sammelte.Besonders beunruhigend ist, dass weder Meta noch Yandex diese Tracking-Methode öffentlich dokumentiert haben. Seitenbetreiber, die diese Skripte einsetzen, waren sich der Hintergrundfunktionen nicht bewusst. In Entwicklerforen fanden sich bereits seit September 2024 verwunderte Fragen zu den mysteriösen Localhost-Verbindungen des Meta Pixels. Viele Entwickler berichteten von unerwarteten Netzwerkverbindungen, die ihre Websites zu lokalen IP-Adressen aufbauten, ohne zu verstehen, warum dies geschah.
Google und Browser reagieren
Nach der Aufdeckung durch die Sicherheitsforscher hat Google erklärt, dass dieses Verhalten gegen die Nutzungsbedingungen des Play Store und die Datenschutzerwartungen der Android-Nutzer verstößt. "Die Entwickler in diesem Bericht nutzen Funktionen, die in vielen Browsern unter iOS und Android vorhanden sind, auf unbeabsichtigte Weise, die eindeutig gegen unsere Sicherheits- und Datenschutzprinzipien verstößt", erklärte ein Google-Vertreter.Meta hat als Reaktion auf die Enthüllungen die Funktion pausiert. "Wir befinden uns in Gesprächen mit Google, um ein mögliches Missverständnis bezüglich der Anwendung ihrer Richtlinien zu klären", teilte ein Meta-Sprecher mit. "Nach Kenntnisnahme der Bedenken haben wir beschlossen, die Funktion zu pausieren, während wir mit Google an der Lösung des Problems arbeiten."
Auch Yandex hat erklärt, die Praxis einzustellen und steht ebenfalls mit Google in Kontakt. Das Unternehmen betonte: "Yandex hält sich strikt an Datenschutzstandards und deanonymisiert keine Nutzerdaten. Die betreffende Funktion sammelt keine sensiblen Informationen und dient ausschließlich der Verbesserung der Personalisierung innerhalb unserer Apps."
Verschiedene Browser haben bereits Maßnahmen ergriffen, um diese Art von Tracking zu blockieren. DuckDuckGo und Brave blockieren bereits die meisten der betroffenen Domains. Chrome hat in einer Beta-Version vom Mai 2025 eine Abschwächung eingeführt, die die von Meta Pixel verwendete Art von SDP-Munging blockiert. Firefox-Entwickler Mozilla arbeitet ebenfalls an Lösungen bzw. Gegenmaßnahmen.
Die Forscher warnen jedoch, dass die aktuellen Fixes so spezifisch für den Code in den Meta- und Yandex-Trackern sind, dass sie mit einem einfachen Update leicht umgangen werden könnten. Eine umfassendere Lösung würde erfordern, dass Android die Art und Weise überarbeitet, wie es den Zugriff auf lokale Ports handhabt.
Was haltet ihr von dieser heimlichen Tracking-Methode? Nutzt ihr Facebook oder Instagram auf eurem Android-Gerät, und macht euch diese Enthüllung Sorgen? Teilt eure Gedanken dazu in den Kommentaren mit uns!
Versteckte Optionen Facebook & Instagram ohne Werbetracking nutzen
Zusammenfassung
- Meta und Yandex nutzten heimliche Tracking-Methode bei Android-Nutzern
- Tracking-Codes missbrauchen Internetprotokolle zur Deanonymisierung
- Methode funktioniert trotz Inkognito-Modus und gelöschter Cookies
- Android-Schwachstelle liegt in der Handhabung von Localhost-Verbindungen
- Meta pausierte die Funktion nach Aufdeckung durch Sicherheitsforscher
- Google erklärt das Tracking verstößt gegen Play Store Nutzungsbedingungen
- Browser wie DuckDuckGo und Brave blockieren bereits betroffene Domains
Siehe auch:
- Crocodilus: Android-Malware schleicht sich in die Kontakte ein
- Photoshop für Android ist da: Adobe startet kostenlose Beta für alle
- YouTube-Bug lässt Navigationsleiste auf Android verschwinden
- Google "AI Edge Gallery": Lokale KI-Modelle für Android-Smartphones
- Q25: Legendärer BlackBerry Q20 mit neuer CPU & Android wiederbelebt
Thema:
Das Google Pixel 8 im Preisvergleich
Beliebt im Preisvergleich
- Handys ohne Vertrag:
Android-Videos
- MatePad Pro Max: Huaweis neues Premium-Tablet im Test
- Pixel 10 vs. iPhone 17e: Die beiden Budget-Premiumgeräte im Vergleich
- Oscal PV800 Pro: Günstiger, heller Beamer mit Kompromissen im Test
- ThinkTab X11: Lenovos Tablet für harte Umgebungen im Test
- Samsungs Galaxy-S26-Serie: Welches Smartphone ist das Richtige?
Neue Android-Downloads
Beiträge aus dem Forum
Weiterführende Links
Neue Nachrichten
- Aktuelle Technik-Blitzangebote von Amazon im Überblick
- Flipper Zero lebt weiter: Firmwareentwicklung nun mit der Community
- FritzOS 8.25: Neue Nutzungsvereinbarung sorgt für Diskussionen
- Microsoft warnt ab sofort: Support für Windows 11 24H2 endet bald
- TinyRetroPad: Ex-Windows-Entwickler baut Notepad in nur 2,5 KB nach
- Protest gegen Sony: Spieler kündigen massenhaft ihr PS-Plus-Abo
- Aus wegen 10 Cent: Sonys geheime PlayStation Controller-Konsole
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Alle Kommentare zu dieser News anzeigen