Wie Meta und Yandex Nutzerdaten auch im Inkognitomodus ausspähen

In den letzten Jahren haben wir viel über Sandboxing und Tracking-Schutz gehört, die von großen Browsern wie Chrome eingeführt wurden. Die Idee dahinter war einfach: Sobald diese Schutzmaßnahmen aktiviert sind, müsste niemand mehr befürchten, von großen Tech-Unternehmen ausspioniert zu werden oder die Web-Historie mit der echten Identität verknüpft zu haben. Stattdessen sollte gezielte Werbung auf anonymisierten Daten basieren, die trotzdem effektiv genug für die Werbetreibenden sein sollten — zumindest in der Theorie.

Diese Idee klang für uns immer etwas unrealistisch. Wir haben schon lange darauf hingewiesen, dass die De-Anonymisierung dieser „anonymen“ Daten durchaus möglich ist.

Aber was, wenn man gar nicht so weit gehen muss? Was, wenn es trotz all der Schutzmaßnahmen immer noch möglich wäre, einzigartige Kennungen zu erlangen und sie zuverlässig mit dem Surfverhalten zu verknüpfen?

Genau das haben Meta und Yandex herausgefunden.

Laut einer neuen Untersuchung haben Meta (über Meta Pixel) und Yandex (über Yandex Metrica) eine Schwachstelle im Android-Betriebssystem und im Verhalten mobiler Browser ausgenutzt, um die Identität von Personen zu entschlüsseln und ihre Web-Daten mit den echten Identitäten in nativen Apps wie Facebook und Instagram zu verknüpfen.

Wie umgehen sie die Tracking-Schutzmaßnahmen?

Wenn Sie eine ausführliche technische Erklärung darüber wünschen, wie dieses Tracking genau funktioniert, empfehlen wir, die ursprüngliche Forschung zu lesen.

Aber kurz gesagt: Meta und Yandex haben eine unorthodoxe Methode gefunden, um Tracking-Daten direkt von Ihrem mobilen Browser in ihre nativen Apps zu übertragen.

Der von Yandex seit 2017 und von Meta Ende 2024 in leicht veränderter Form übernommene Umgehungsmechanismus nutzt eine Funktion von Android, die es Apps ermöglicht, Kommunikationskanäle mit sich selbst zu öffnen.

So funktioniert es: Wenn eine App installiert wird und im Hintergrund läuft, öffnet sie einen privaten Kommunikationskanal auf dem Gerät, der als Localhost oder Loopback-Port bekannt ist. Dieser Port wird normalerweise verwendet, um die App lokal zu testen, bevor sie auf einen Live-Server übertragen wird.

Allerdings haben Meta und Yandex diese Funktion missbraucht, um Tracking-Daten wie Web-Cookies oder andere eindeutige Kennungen von mobilen Webbrowsern (wie Firefox und auf Chromium basierenden Browsern) an ihre Android-Apps wie Facebook, Instagram und verschiedene Yandex-Dienste zu übertragen.

Wenn eine Person eine Website besucht, die Meta Pixel oder Yandex Metrica-Skripte eingebettet hat (Tracking-Technologien, die auf Millionen von Websites zu finden sind), verwenden diese Skripte gängige Browser-Funktionen wie HTTP-Anfragen, WebSockets oder WebRTC, um Daten, einschließlich Tracking-Cookies, direkt an diese offenen lokalen Ports zu senden. Die auf dem Gerät installierte App empfängt diese Informationen und kann sie mit dem eingeloggenen Benutzerkonto innerhalb der App verknüpfen. Sobald diese Verbindung hergestellt ist, sendet die App die kombinierten Daten (Browser-Verhalten + Benutzeridentität) an die Server von Meta oder Yandex.

So gelingt es Meta und Yandex, die Sandboxing-Maßnahmen der Browser, den Inkognitomodus und die Berechtigungssteuerung von Android zu umgehen. Das gibt ihnen eine hinterhältige Möglichkeit, Nutzer:innen zu de-anonymisieren und zu überwachen, was im Internet getan wird, selbst wenn man glaubt, durch den ‘Inkognitomodus’ geschützt zu sein.

Betreiben sie das noch immer?

Laut den Forschern hat Meta diese Praxis eingestellt. Ab dem 3. Juni 2025 sendete das Tracking-Skript von Meta Pixel (früher Facebook Pixel) keine Pakete oder Anfragen mehr an den Localhost.

In einer Erklärung gegenüber Ars Technica sagte Meta: „Nachdem wir von den Bedenken erfahren haben, haben wir uns entschieden, die Funktion vorübergehend auszusetzen, während wir mit Google zusammenarbeiten, um das Problem zu lösen.“

Yandex erklärte ebenfalls, dass es die Praxis einstellen würde, fügte jedoch hinzu, dass die betreffende Funktion nicht dazu gedacht war, sensible Informationen zu sammeln und „ausschließlich dazu diente, die Personalisierung innerhalb unserer Apps zu verbessern.“

Google reagierte mit der Aussage, dass diese Praktiken offensichtlich gegen seine Sicherheits- und Datenschutzprinzipien verstoßen und nicht mit seinen Nutzungsbedingungen übereinstimmen. Das Unternehmen kündigte auch an, eine Untersuchung in Bezug auf den gemeldeten Missbrauch der Browser-Funktionen einzuleiten.

Wie können Sie sich davor schützen?

Es ist klar, dass die eingebauten Schutzmaßnahmen von Android sowie die Funktionen in großen Browsern wie Chrome und Firefox diesmal versagt haben.

Menschen, die weniger bekannte und auf Sicherheit sowie Datenschutz fokussierte Nischen-Browser wie DuckDuckGo und Brave verwenden, hatten jedoch deutlich mehr Glück. Das liegt daran, dass diese Browser mit eingebauten Tracking-Schutzmaßnahmen ausgestattet sind, die Tracking-Anfragen sofort blockieren oder die Weitergabe von Identifikatoren verhindern.

AdGuard funktioniert nach dem gleichen Prinzip: Wenn der Tracking-Schutzfilter aktiviert ist, blockieren wir Meta Pixel, Yandex Metrica und andere Tracking-Skripte direkt an der Quelle — einschließlich derjenigen, die versuchen, diesen Localhost-Trick auszunutzen. Wenn dieser Filter aktiviert ist, besteht kein Grund zur Sorge.

Doch diese Methode zeigt, wie weit Unternehmen bereit sind zu gehen, um Schutzmaßnahmen auf Browser- und Betriebssystem-Ebene zu umgehen — und das ist das eigentliche Problem.

Wenn diese Technik weiter verbreitet wird, könnte sie zu einer ernsthaften Bedrohung der Privatsphäre werden. Auch wenn momentan alles sicher ist, denken wir bereits an eine allgemeinere, langfristige Lösung, um diese Art des Missbrauchs vollständig zu unterbinden.