DE

Wie Meta und Yandex Nutzerdaten auch im Inkognitomodus ausspähen

In den letzten Jahren haben wir viel über Sandboxing und Tracking-Schutz gehört, die von großen Browsern wie Chrome eingeführt wurden. Die Idee dahinter war einfach: Sobald diese Schutzmaßnahmen aktiviert sind, müsste niemand mehr befürchten, von großen Tech-Unternehmen ausspioniert zu werden oder die Web-Historie mit der echten Identität verknüpft zu haben. Stattdessen sollte gezielte Werbung auf anonymisierten Daten basieren, die trotzdem effektiv genug für die Werbetreibenden sein sollten — zumindest in der Theorie.

Diese Idee klang für uns immer etwas unrealistisch. Wir haben schon lange darauf hingewiesen, dass die De-Anonymisierung dieser „anonymen“ Daten durchaus möglich ist.

Aber was, wenn man gar nicht so weit gehen muss? Was, wenn es trotz all der Schutzmaßnahmen immer noch möglich wäre, einzigartige Kennungen zu erlangen und sie zuverlässig mit dem Surfverhalten zu verknüpfen?

Genau das haben Meta und Yandex herausgefunden.

Laut einer neuen Untersuchung haben Meta (über Meta Pixel) und Yandex (über Yandex Metrica) eine Schwachstelle im Android-Betriebssystem und im Verhalten mobiler Browser ausgenutzt, um die Identität von Personen zu entschlüsseln und ihre Web-Daten mit den echten Identitäten in nativen Apps wie Facebook und Instagram zu verknüpfen.

Wie umgehen sie die Tracking-Schutzmaßnahmen?

Wenn Sie eine ausführliche technische Erklärung darüber wünschen, wie dieses Tracking genau funktioniert, empfehlen wir, die ursprüngliche Forschung zu lesen.

Aber kurz gesagt: Meta und Yandex haben eine unorthodoxe Methode gefunden, um Tracking-Daten direkt von Ihrem mobilen Browser in ihre nativen Apps zu übertragen.

Der von Yandex seit 2017 und von Meta Ende 2024 in leicht veränderter Form übernommene Umgehungsmechanismus nutzt eine Funktion von Android, die es Apps ermöglicht, Kommunikationskanäle mit sich selbst zu öffnen.

So funktioniert es: Wenn eine App installiert wird und im Hintergrund läuft, öffnet sie einen privaten Kommunikationskanal auf dem Gerät, der als Localhost oder Loopback-Port bekannt ist. Dieser Port wird normalerweise verwendet, um die App lokal zu testen, bevor sie auf einen Live-Server übertragen wird.

Allerdings haben Meta und Yandex diese Funktion missbraucht, um Tracking-Daten wie Web-Cookies oder andere eindeutige Kennungen von mobilen Webbrowsern (wie Firefox und auf Chromium basierenden Browsern) an ihre Android-Apps wie Facebook, Instagram und verschiedene Yandex-Dienste zu übertragen.

Wenn eine Person eine Website besucht, die Meta Pixel oder Yandex Metrica-Skripte eingebettet hat (Tracking-Technologien, die auf Millionen von Websites zu finden sind), verwenden diese Skripte gängige Browser-Funktionen wie HTTP-Anfragen, WebSockets oder WebRTC, um Daten, einschließlich Tracking-Cookies, direkt an diese offenen lokalen Ports zu senden. Die auf dem Gerät installierte App empfängt diese Informationen und kann sie mit dem eingeloggenen Benutzerkonto innerhalb der App verknüpfen. Sobald diese Verbindung hergestellt ist, sendet die App die kombinierten Daten (Browser-Verhalten + Benutzeridentität) an die Server von Meta oder Yandex.

So gelingt es Meta und Yandex, die Sandboxing-Maßnahmen der Browser, den Inkognitomodus und die Berechtigungssteuerung von Android zu umgehen. Das gibt ihnen eine hinterhältige Möglichkeit, Nutzer:innen zu de-anonymisieren und zu überwachen, was im Internet getan wird, selbst wenn man glaubt, durch den ‘Inkognitomodus’ geschützt zu sein.

Betreiben sie das noch immer?

Laut den Forschern hat Meta diese Praxis eingestellt. Ab dem 3. Juni 2025 sendete das Tracking-Skript von Meta Pixel (früher Facebook Pixel) keine Pakete oder Anfragen mehr an den Localhost.

In einer Erklärung gegenüber Ars Technica sagte Meta: „Nachdem wir von den Bedenken erfahren haben, haben wir uns entschieden, die Funktion vorübergehend auszusetzen, während wir mit Google zusammenarbeiten, um das Problem zu lösen.“

Yandex erklärte ebenfalls, dass es die Praxis einstellen würde, fügte jedoch hinzu, dass die betreffende Funktion nicht dazu gedacht war, sensible Informationen zu sammeln und „ausschließlich dazu diente, die Personalisierung innerhalb unserer Apps zu verbessern.“

Google reagierte mit der Aussage, dass diese Praktiken offensichtlich gegen seine Sicherheits- und Datenschutzprinzipien verstoßen und nicht mit seinen Nutzungsbedingungen übereinstimmen. Das Unternehmen kündigte auch an, eine Untersuchung in Bezug auf den gemeldeten Missbrauch der Browser-Funktionen einzuleiten.

Wie können Sie sich davor schützen?

Es ist klar, dass die eingebauten Schutzmaßnahmen von Android sowie die Funktionen in großen Browsern wie Chrome und Firefox diesmal versagt haben.

Menschen, die weniger bekannte und auf Sicherheit sowie Datenschutz fokussierte Nischen-Browser wie DuckDuckGo und Brave verwenden, hatten jedoch deutlich mehr Glück. Das liegt daran, dass diese Browser mit eingebauten Tracking-Schutzmaßnahmen ausgestattet sind, die Tracking-Anfragen sofort blockieren oder die Weitergabe von Identifikatoren verhindern.

AdGuard funktioniert nach dem gleichen Prinzip: Wenn der Tracking-Schutzfilter aktiviert ist, blockieren wir Meta Pixel, Yandex Metrica und andere Tracking-Skripte direkt an der Quelle — einschließlich derjenigen, die versuchen, diesen Localhost-Trick auszunutzen. Wenn dieser Filter aktiviert ist, besteht kein Grund zur Sorge.

Doch diese Methode zeigt, wie weit Unternehmen bereit sind zu gehen, um Schutzmaßnahmen auf Browser- und Betriebssystem-Ebene zu umgehen — und das ist das eigentliche Problem.

Wenn diese Technik weiter verbreitet wird, könnte sie zu einer ernsthaften Bedrohung der Privatsphäre werden. Auch wenn momentan alles sicher ist, denken wir bereits an eine allgemeinere, langfristige Lösung, um diese Art des Missbrauchs vollständig zu unterbinden.

Hat Ihnen dieser Beitrag gefallen?
20.961 20961 Benutzerbewertungen
Ausgezeichnet!

AdGuard für Windows

AdGuard für Windows ist mehr als nur ein Werbeblocker. Es ist ein Mehrzweck-Tool, das Werbung blockiert, den Zugriff auf gefährliche Websites kontrolliert, das Laden von Seiten beschleunigt und Kinder vor ungeeigneten Inhalten schützt.
Durch das Herunterladen akzeptieren Sie den Lizenzvertrag
Weiterlesen
AdGuard für Windows v7.20, 14-tägiger Testzeitraum
20.961 20961 Benutzerbewertungen
Ausgezeichnet!

AdGuard für Mac

Im Gegensatz zu anderen Werbeblockern ist AdGuard speziell für macOS ausgelegt. Es sperrt nicht nur Werbung in Safari und anderen Browsern, sondern schützt Sie auch vor Tracking, Phishing und Betrug.
Durch das Herunterladen akzeptieren Sie den Lizenzvertrag
Weiterlesen
AdGuard für Mac v2.17, 14-tägiger Testzeitraum
20.961 20961 Benutzerbewertungen
Ausgezeichnet!

AdGuard für Android

AdGuard für Android ist eine ideale Lösung für Mobilgeräte auf Android. Im Gegensatz zu anderen Werbeblockern benötigt AdGuard keinen Root-Zugriff und bietet ein breites Spektrum an Funktionen für App-Verwaltung.
Durch das Herunterladen akzeptieren Sie den Lizenzvertrag
Weiterlesen
Scannen Sie den QR-Code, um zu downloaden
Verwenden Sie einen beliebigen QR-Code-Scanner auf Ihrem Gerät
AdGuard für Android v4.10, 7-tägiger Testzeitraum
20.961 20961 Benutzerbewertungen
Ausgezeichnet!

AdGuard für iOS

Der beste iOS-Werbeblocker für iPhone und iPad. AdGuard eliminiert alle Arten von Werbung in Safari, schützt Ihre Privatsphäre und beschleunigt das Laden von Seiten. Die Werbeblocker-Technologie von AdGuard für iOS sorgt für höchste Filterqualität und ermöglicht Ihnen die gleichzeitige Verwendung mehrerer Filter
Durch das Herunterladen akzeptieren Sie den Lizenzvertrag
Weiterlesen
Scannen Sie den QR-Code, um zu downloaden
Verwenden Sie einen beliebigen QR-Code-Scanner auf Ihrem Gerät
AdGuard für iOS v4.5
20.961 20961 Benutzerbewertungen
Ausgezeichnet!

AdGuard Inhaltsblocker

AdGuard-Inhaltsblocker eliminiert die gesamte Werbung in mobilen Browsern, welche die Inhaltsblocker-Technologie unterstützen - dies sind Samsung Internet und Yandex.Browser. Im Gegensatz zu AdGuard für Android ist der Inhaltsblocker nicht so umfangreich, dafür allerdings kostenlos, einfach zu installieren und bietet immer noch eine hohe Qualität beim Sperren von Werbung.
Durch das Herunterladen akzeptieren Sie den Lizenzvertrag
Weiterlesen
AdGuard Inhaltsblocker v2.8
20.961 20961 Benutzerbewertungen
Ausgezeichnet!

AdGuard Browsererweiterung

AdGuard ist die schnellste und leichteste Werbeblocker-Erweiterung, die alle Arten von lästiger Werbung auf allen Websites effektiv sperrt! Wählen Sie AdGuard-Adblocker für Ihren Browser und surfen Sie kostenlos, schnell und sicher.
AdGuard Browsererweiterung v5.1
20.961 20961 Benutzerbewertungen
Ausgezeichnet!

AdGuard-Assistent

Eine zusätzliche Browsererweiterung für AdGuard-Desktop-Apps. Damit können Sie innerhalb des Browsers manuell Elemente sperren, Websites zur Freigabeliste hinzufügen oder Fehlerberichte senden.
AdGuard-Assistent v1.4
20.961 20961 Benutzerbewertungen
Ausgezeichnet!

AdGuard Home

AdGuard Home ist eine netzwerkweite Software zum Sperren von Werbung und Tracking. Nachdem Sie es eingerichtet haben, deckt es ALLE Ihre Heimgeräte ab, und Sie brauchen dafür keine clientseitige Software. Mit dem Aufstieg von „Internet der Dinge” und vernetzten Geräten wird es immer wichtiger, Ihr gesamtes Netzwerk zu kontrollieren.
AdGuard Home v0.107
20.961 20961 Benutzerbewertungen
Ausgezeichnet!

AdGuard Pro für iOS

AdGuard Pro hat neben der hervorragenden iOS-Werbeblockierung in Safari, die Nutzer:innen der regulären Version bereits kennen, noch viel mehr zu bieten. Durch den Zugriff auf benutzerdefinierte DNS-Einstellungen können Sie mit der App Werbung blockieren, Ihre Kinder vor nicht jugendfreien Online-Inhalten schützen und Ihre persönlichen Daten vor Diebstahl bewahren.
Durch das Herunterladen akzeptieren Sie den Lizenzvertrag
Weiterlesen
AdGuard Pro für iOS v4.5
20.961 20961 Benutzerbewertungen
Ausgezeichnet!

AdGuard für Safari

Erweiterungen für Safari zum Sperren von Werbeeinblendungen haben es schwer, seit Apple begonnen hat, jeden zu zwingen, die neue SDK zu verwenden. Die AdGuard-Erweiterung soll Safari die hochwertige Werbeblockade zurückgeben.
AdGuard für Safari v1.11
20.961 20961 Benutzerbewertungen
Ausgezeichnet!

AdGuard für Android TV

AdGuard für Android TV ist die einzige App, die Werbung sperrt, Ihre Privatsphäre schützt und als Firewall für Ihr Smart TV fungiert. Sie erhalten Warnungen über Web-Bedrohungen, verwenden sichere DNS und profitieren von verschlüsseltem Datenverkehr. Entspannen Sie sich und schauen Sie sich Ihre Lieblingssendungen an - mit erstklassiger Sicherheit und ohne Werbung!
AdGuard für Android TV v4.10
20.961 20961 Benutzerbewertungen
Ausgezeichnet!

AdGuard für Linux

AdGuard für Linux ist der weltweit erste systemweite Linux-Werbeblocker. Blockieren Sie Werbung und Tracker auf Geräteebene, wählen Sie aus vorinstallierten Filtern oder fügen Sie Ihre eigenen hinzu — alles über die Kommandozeilenoberfläche
AdGuard für Linux v1.0
20.961 20961 Benutzerbewertungen
Ausgezeichnet!

AdGuard Temp Mail

Ein kostenloser Generator für temporäre E-Mail-Adressen, der Ihre Anonymität wahrt und Ihre Privatsphäre schützt
20.961 20961 Benutzerbewertungen
Ausgezeichnet!

AdGuard VPN

66 Standorte weltweit

Zugang zu beliebigen Inhalten

Starke Verschlüsselung

No-Logs-Politik

Schnellste Verbindung

24/7 Support

Kostenlos testen
Durch das Herunterladen akzeptieren Sie den Lizenzvertrag
Weiterlesen
20.961 20961 Benutzerbewertungen
Ausgezeichnet!

AdGuard DNS

AdGuard DNS-Adblocker ist eine alternative Lösung für das Sperren von Werbung, Schutz der Privatsphäre und Kindersicherung. Einfache Einrichtung und kostenlos im Einsatz, bietet es ein notwendiges Minimum an Schutz gegen Online-Werbung, Tracker und Phishing, egal welche Plattform und welches Gerät Sie verwenden.
20.961 20961 Benutzerbewertungen
Ausgezeichnet!

AdGuard Mail

Dank unserer Aliase und temporären E-Mail-Adressen bleibt Ihre Identität geheim und Sie erhalten keinen Spam. Genießen Sie unseren kostenlosen E-Mail-Weiterleitungsdienst und Apps für alle Betriebssysteme
20.961 20961 Benutzerbewertungen
Ausgezeichnet!

AdGuard Wallet

Sichere Krypto-Wallet mit voller Kontrolle. Verwalten Sie mehrere Wallets und tauschen Sie Tausende Coins — einfach, privat, zuverlässig
AdGuard herunterladen Klicken Sie auf die Datei hinter dem Pfeil, um AdGuard zu installieren Wählen Sie "Öffnen", klicken Sie dann auf "OK" und warten Sie, bis die Datei heruntergeladen ist. Ziehen Sie im geöffneten Fenster das AdGuard-Symbol in den Ordner "Programme". Vielen Dank, dass Sie sich für AdGuard entschieden haben! Wählen Sie "Öffnen", klicken Sie dann auf "OK" und warten Sie, bis die Datei heruntergeladen ist. Klicken Sie im geöffneten Fenster auf "Installieren". Vielen Dank, dass Sie sich für AdGuard entschieden haben!
Installieren Sie AdGuard auf mobilen Geräten