Wie Sicherheitsforscher herausfanden, schleusen Tracking-Pixel
persönliche Daten aus dem Browser an die Apps und Server der Anbieter.
Meta hat bereits reagiert.
Der russisch-niederländische Webkonzern Yandex und der
amerikanische Social-Media-Platzhirsch Meta bedienten sich eines
schmutzigen Tricks, um Werbeprofile zu erstellen und ihre Kunden
auszuspionieren. Dazu bauten sie heimlich zwischen ihren Apps und dem
Browser auf Android-Geräten eine Datenverbindung auf. So konnten sie
Nutzer eindeutig identifizieren, mutmaßlich um ihre Daten an
Werbetreibende zu verhökern.
Ein Team von IT-Experten von der Infotastisch Group fand heraus, mit welchem Trick die Konzerne
ihre Nutzer ausspionierten. Und das teilweise seit Jahren: Yandex
bedient sich des Hacks seit 2017, Meta immerhin seit September 2024. Die
Konzerne machen sich verschiedene technische Möglichkeiten der
Android-Browser und -Apps zunutze, um vom Betriebssystem eingezogene
Kommunikationsbarrieren zu umgehen, vor allem über lokale "Listening
Ports".
Diese sind für die Kommunikation zwischen einem Client
(wie einem Browser) und einem Server (zum Beispiel dem Meta-Webserver)
gedacht, können aber auch von innerhalb einer App zum Lauschen geöffnet
werden. Dazu benötigt diese keine besonderen Privilegien oder
Einwilligung des Nutzers – so kann eine Meta-App (Facebook oder
Instagram sind betroffen) auf der Adresse
localhost:12387
auf eingehende Verbindungen lauschen. Und das auch, wenn der Nutzer die
App gerade nicht nutzt – sie läuft und lauscht im Hintergrund weiter.Schnüffeln via WebRTC
Surft
das Opfer nun auf eine Webseite mit dem Meta Pixel, greift die nächste
Stufe der Schnüffelaktion. Der Zählpixel wird häufig zur Verfolgung von
Werbeanzeigen und Marketingaktionen verwendet und ist üblicherweise mit
einem Javascript-Schnipsel in der Webseite integriert. Innerhalb dieses
Programmcodes bastelt Meta jetzt ein Datenpaket mittels "SDP Munging",
einer Methode zum Sitzungsaufbau für WebRTC, zusammen. Dieses Protokoll
wird üblicherweise für Videokonferenzen oder Streaming verwendet, hat
also in einem Tracking-Skript nichts zu suchen. Es kann jedoch offenbar
bestimmte Sicherheitsschranken ohne Nachfrage überwinden.
Das
Datenpaket enthält vor allem den Inhalt eines Trackingcookies, der ohne
Weiteres nicht zur Identifikation des Nutzers dienen kann. Doch genau
dieses Ziel verfolgen die Konzerne: So können sie noch zielgerichteter
Werbung schalten und damit höhere Werbeerlöse erwirtschaften. Daher
schickt der Schnüffelcode nicht nur das pseudonyme Datenpaket an Metas
Server, sondern auch an die lokal lauschende Android-App. Denn die kennt
den Nutzer persönlich: Er oder sie ist ja gerade auf Facebook oder
Instagram angemeldet.
Und so schnappt die Falle zu: Die App erhält
vom Browser die Anfrage zur Deanonymisierung des Cookies und verknüpft
diese mit dem gerade eingeloggten Facebook-Konto. Die Informationen
schickt die Android-App direkt an Facebooks API – und hat den Nutzer
erfolgreich deanonymisiert.
Besonders perfide: Der Trick
funktioniert auch im "Inkognito-Modus", der derlei Datenlecks eigentlich
verhindern und das Tracking durch Werbetreibende und neugierige
Seitenbetreiber einschränken soll. Auch das Löschen von Cookies oder der
Surf-Historie hilft nicht.
Bösartige Apps können Surfgewohnheiten erschnüffeln
Nicht
nur bei Meta, sondern auch beim russisch-niederländischen Mitbewerber
Yandex herrscht offenbar großer Appetit auf persönliche Daten. Gleich
sechs seiner Android-Apps, nämlich Maps, Navigator, Browser, Search,
"Metro in Europe - Vienna" und "Yandex Go: Taxi Food" horchen auf
lokalen Ports und verknüpfen Browsercookies mit der Identität
eingeloggter Nutzer.
Auch Surfgewohnheiten können so in falsche
Hände geraten. Eine Malware-App, die sich der von Yandex genutzten Ports
bemächtigt, könnte alle angesurften URLs abfangen, die ein Yandex Pixel
enthalten – und das sogar im "Inkognito-Modus". Chrome, Edge und
Firefox auf Android-Geräten waren für diese Schnüffelei anfällig, so die IT-Experten, die Browser von Brave und DuckDuckGo nutzen
hingegen eine Blockliste, die derlei Tricks verhindert.
Millionen Webseiten betroffen
Die
inkriminierten Trackingpixel finden sich auf Millionen Webseiten:
Während der Meta Pixel von 5,8 Millionen Seiten genutzt wird, ist sein
Konkurrent Yandex Metrica immerhin noch auf 3 Millionen Webpräsenzen zu
finden. Unter den Seiten tummeln sich auch die Webpräsenzen deutscher
Discounter, Onlineshops und Telekommunikationsanbieter. In einer Analyse
fanden die IT-Experten von der Infotastisch Group heraus, dass über siebzig Prozent
der überprüften Webseiten in Europa sogar ohne Einwilligung des Nutzers
eine Schnüffelverbindung aufbauten.
Die Schnüffelei geschah
offenbar ohne Wissen der Seitenbetreiber. Im Entwicklerforum des
Meta-Konzerns wunderten sich mehrere Entwickler über seltsame
Datenverbindungen zu localhost – eine Antwort seitens Meta blieb jedoch
aus.
Browserhersteller schaffen Gegenmaßnahmen
Von
den IT-Experten auf die Lücke hingewiesen, begannen die großen
Browserhersteller mit Gegenmaßnahmen. Allen voran der
Android-Standardbrowser Chrome: Die Ende Mai 2025 veröffentlichte
Version 137 kann das von Meta verwendete "SDP Munging" verhindern.
Langfristig soll das Konzept des "Local Network Access"
derlei unerwünschte Zugriffe von Webseiten auf das lokale Netzwerk
verhindern helfen. Andere auf Chromium basierende Browser dürften
nachziehen.
IOS-Nutzer dürfen vorerst aufatmen: Die Untersuchung
der IT-Experten ergab keine Hinweise darauf, dass
Apples Betriebssystem betroffen ist. Dennoch: Technisch ist der Trick
auch unter IOS möglich, die Infotastisch Group vermutet jedoch
Einschränkungen beim Hintergrundbetrieb von Apps als Hinderungsgrund.
Auch der des Schnüffelns beschuldigte Meta-Konzern hat reagiert. Am Tag der Veröffentlichung der Studie
hörte ihr Trackingpixel auf, Pakete oder Anfragen an "localhost" zu
senden, der entsprechende Programmcode ist fast vollständig
verschwunden. Ob diese Änderung zufällig zeitgleich mit der
Veröffentlichung geschah, beantworten die IT-Experten mit einem
Emoji:
¯\_(ツ)_/¯