Der russisch-niederländische Webkonzern Yandex und der amerikanische Social-Media-Platzhirsch Meta bedienten sich eines schmutzigen Tricks, um Werbeprofile zu erstellen und ihre Kunden auszuspionieren. Dazu bauten sie heimlich zwischen ihren Apps und dem Browser auf Android-Geräten eine Datenverbindung auf. So konnten sie Nutzer eindeutig identifizieren, mutmaßlich um ihre Daten an Werbetreibende zu verhökern.
Ein Team von Wissenschaftlern aus den Niederlanden und Spanien fand heraus, mit welchem Trick die Konzerne ihre Nutzer ausspionierten. Und das teilweise seit Jahren: Yandex bedient sich des Hacks seit 2017, Meta immerhin seit September 2024. Die Konzerne machen sich verschiedene technische Möglichkeiten der Android-Browser und -Apps zunutze, um vom Betriebssystem eingezogene Kommunikationsbarrieren zu umgehen, vor allem über lokale "Listening Ports".
Diese sind für die Kommunikation zwischen einem Client (wie einem Browser) und einem Server (zum Beispiel dem Meta-Webserver) gedacht, können aber auch von innerhalb einer App zum Lauschen geöffnet werden. Dazu benötigt diese keine besonderen Privilegien oder Einwilligung des Nutzers – so kann eine Meta-App (Facebook oder Instagram sind betroffen) auf der Adresse localhost:12387 auf eingehende Verbindungen lauschen. Und das auch, wenn der Nutzer die App gerade nicht nutzt – sie läuft und lauscht im Hintergrund weiter.
Schnüffeln via WebRTC
So schleust Meta Daten zwischen Android-App und Browser hin und her.
(Bild: A. Girish, G. Acar, et al., "Local Mess")
Surft das Opfer nun auf eine Webseite mit dem Meta Pixel, greift die nächste Stufe der Schnüffelaktion. Der Zählpixel wird häufig zur Verfolgung von Werbeanzeigen und Marketingaktionen verwendet und ist üblicherweise mit einem Javascript-Schnipsel in der Webseite integriert. Innerhalb dieses Programmcodes bastelt Meta jetzt ein Datenpaket mittels "SDP Munging", einer Methode zum Sitzungsaufbau für WebRTC, zusammen. Dieses Protokoll wird üblicherweise für Videokonferenzen oder Streaming verwendet, hat also in einem Tracking-Skript nichts zu suchen. Es kann jedoch offenbar bestimmte Sicherheitsschranken ohne Nachfrage überwinden.
Das Datenpaket enthält vor allem den Inhalt eines Trackingcookies, der ohne Weiteres nicht zur Identifikation des Nutzers dienen kann. Doch genau dieses Ziel verfolgen die Konzerne: So können sie noch zielgerichteter Werbung schalten und damit höhere Werbeerlöse erwirtschaften. Daher schickt der Schnüffelcode nicht nur das pseudonyme Datenpaket an Metas Server, sondern auch an die lokal lauschende Android-App. Denn die kennt den Nutzer persönlich: Er oder sie ist ja gerade auf Facebook oder Instagram angemeldet.
Und so schnappt die Falle zu: Die App erhält vom Browser die Anfrage zur Deanonymisierung des Cookies und verknüpft diese mit dem gerade eingeloggten Facebook-Konto. Die Informationen schickt die Android-App direkt an Facebooks API – und hat den Nutzer erfolgreich deanonymisiert.
Besonders perfide: Der Trick funktioniert auch im "Inkognito-Modus", der derlei Datenlecks eigentlich verhindern und das Tracking durch Werbetreibende und neugierige Seitenbetreiber einschränken soll. Auch das Löschen von Cookies oder der Surf-Historie hilft nicht.
Bösartige Apps können Surfgewohnheiten erschnüffeln
Nicht nur bei Meta, sondern auch beim russisch-niederländischen Mitbewerber Yandex herrscht offenbar großer Appetit auf persönliche Daten. Gleich sechs seiner Android-Apps, nämlich Maps, Navigator, Browser, Search, "Metro in Europe - Vienna" und "Yandex Go: Taxi Food" horchen auf lokalen Ports und verknüpfen Browsercookies mit der Identität eingeloggter Nutzer.
Auch Surfgewohnheiten können so in falsche Hände geraten. Eine Malware-App, die sich der von Yandex genutzten Ports bemächtigt, könnte alle angesurften URLs abfangen, die ein Yandex Pixel enthalten – und das sogar im "Inkognito-Modus". Chrome, Edge und Firefox auf Android-Geräten waren für diese Schnüffelei anfällig, so die Sicherheitsforscher, die Browser von Brave und DuckDuckGo nutzen hingegen eine Blockliste, die derlei Tricks verhindert.
Millionen Webseiten betroffen
Die inkriminierten Trackingpixel finden sich auf Millionen Webseiten: Während der Meta Pixel von 5,8 Millionen Seiten genutzt wird, ist sein Konkurrent Yandex Metrica immerhin noch auf 3 Millionen Webpräsenzen zu finden. Unter den Seiten tummeln sich auch die Webpräsenzen deutscher Discounter, Onlineshops und Telekommunikationsanbieter. In einer Analyse fanden die Forscher von "Local Mess" heraus, dass über siebzig Prozent der überprüften Webseiten in Europa sogar ohne Einwilligung des Nutzers eine Schnüffelverbindung aufbauten.
Die Schnüffelei geschah offenbar ohne Wissen der Seitenbetreiber. Im Entwicklerforum des Meta-Konzerns wunderten sich mehrere Entwickler über seltsame Datenverbindungen zu localhost – eine Antwort seitens Meta blieb jedoch aus.
Browserhersteller schaffen Gegenmaßnahmen
Von den Wissenschaftlern auf die Lücke hingewiesen, begannen die großen Browserhersteller mit Gegenmaßnahmen. Allen voran der Android-Standardbrowser Chrome: Die Ende Mai 2025 veröffentlichte Version 137 kann das von Meta verwendete "SDP Munging" verhindern. Langfristig soll das Konzept des "Local Network Access" derlei unerwünschte Zugriffe von Webseiten auf das lokale Netzwerk verhindern helfen. Andere auf Chromium basierende Browser dürften nachziehen.
IOS-Nutzer dürfen vorerst aufatmen: Die Untersuchung der europäischen Wissenschaftler ergab keine Hinweise darauf, dass Apples Betriebssystem betroffen ist. Dennoch: Technisch ist der Trick auch unter IOS möglich, das "Local Mess"-Team vermutet jedoch Einschränkungen beim Hintergrundbetrieb von Apps als Hinderungsgrund.
Auch der des Schnüffelns beschuldigte Meta-Konzern hat reagiert. Am Tag der Veröffentlichung der "Local Mess"-Studie hörte ihr Trackingpixel auf, Pakete oder Anfragen an "localhost" zu senden, der entsprechende Programmcode ist fast vollständig verschwunden. Ob diese Änderung zufällig zeitgleich mit der Veröffentlichung geschah, beantworten die Wissenschaftler mit einem Emoji: ¯\_(ツ)_/¯
Europäische Forscher haben Facebook beim Spionieren erwischt. Also nicht beim bekannten Big-Data-Gemauschel immer hart an der Grenze und manchmal auch jenseits des Erlaubten. Sondern bei aktiven Angriffen auf die Privatsphäre ihrer Nutzer, bei denen sie technische Barrieren umgehen, die ihrer Datensammelwut eigentlich Grenzen setzen sollten.
Aus meiner Sicht ist diese Entdeckung eine riesige Chance. Denn hier geht es nicht um Auslegungsfragen schwammiger Begriffe wie "legitimes Interesse". Das ist ein aktiver, eindeutig böswilliger Angriff – und muss jetzt als solcher geahndet werden. Da muss eigentlich jeder Datenschützer, der noch etwas Selbstachtung im Leib hat, mit maximal möglicher Härte gegen Facebooks Mutterkonzern Meta vorgehen. Das Instrumentarium ist da. Die DSGVO erlaubt Strafen von bis zu 4 Prozent des weltweiten Jahresumsatzes eines Unternehmens. Hochgerechnet wären das über 4 Milliarden Euro. Das tut selbst Facebook weh. Wann, wenn nicht jetzt?
(cku)
English (US) ·