Meta und Yandex – unerlaubtes Android Nutzer Tracking über Localhost Verbindungen

Viele Websites binden Meta Pixel (Facebook/Instagram) oder Yandex Metrica ein, um Besucherdaten zu sammeln. Doch seit Herbst 2024 nutzen beide Anbieter eine versteckte Methode, bei der ihr JavaScript im mobilen Browser mit nativen Android-Apps auf demselben Gerät kommuniziert – über „localhost“-Verbindungen, wie die Seite Localmess auf Github berichtet. Dadurch lassen sich Web-Cookies (z. B. das Meta-_fbp-Cookie) heimlich an App-Identitäten (Facebook/Instagram-Logins, Android Advertising ID) koppeln und Nutzer eindeutig wiedererkennen, selbst wenn sie im Inkognito-Modus surfen oder Cookies gelöscht haben. Der Meta Pixel ist laut HTTP Archive in rund 2,4 Millionen der meistbesuchten Websites eingebunden. Yandex Metrica findet sich auf etwa 575 000 Sites (EU-Crawl) bzw. 1,3 Millionen (US-Crawl).

Funktionsweise

1. App startet und lauscht
   Nach dem Öffnen sendet die Facebook- oder Instagram-App (bzw. diverse Yandex-Apps) im Hintergrund UDP- oder HTTP-Ports an, etwa 12580–12585 (Meta) oder 29009, 30102 (HTTP) sowie 29010, 30103 (HTTPS) (Yandex).
2. Website lädt Pixel/Metrica-Script
   Besucht der Nutzer eine Seite mit Meta Pixel oder Yandex Metrica, initiiert das dort eingebettete JavaScript eine lokale Verbindung zu „127.0.0.1“ und schickt Tracking-Daten (z. B. den _fbp-Cookie oder Anfragen mit verschlüsselten Parametern).
3. Native App empfängt Daten
   Die jeweilige App liest diese Informationen aus (z. B. _fbp-Cookie, AAID, UUIDs) und sendet sie zusammen mit ihrem eigenen Nutzer-Profil an die eigenen Server. Damit verknüpfen Meta und Yandex Web-Besuche mit einer realen Nutzer-ID.
4. Konsequenz
   Selbst wenn Cookies gelöscht, Inkognito-Tabs genutzt oder Cookie-Consent verweigert werden, laufen diese lokalen Anfragen weiter – ohne dass Nutzer:innen davon wissen.

Aus der Verwendung dieses Mechanismus ergeben sich folge Datenschutzproblematiken:

1. De-Anonymisierung
   Aus dem First-Party-_fbp-Cookie, das eigentlich nur auf Domain-Ebene gelten soll, wird mittels localhost-Brücke eine permanente Profil-ID, die mit dem Facebook/Instagram-Account verknüpft ist. Erstmals lässt sich so nachvollziehen, welche Websites ein Nutzer besucht, und das sogar in unterschiedlichen Browser-Sessions.
2. Umgehung von Consent-Mechanismen
   Viele Seiten feuern die lokalen Anfragen, bevor Nutzer:innen überhaupt ein Cookie-Banner bestätigen. Das bedeutet, es fehlt jede rechtliche Grundlage (§ 6 Abs. 1 DSGVO).
3. Verstoß gegen Datenminimierung und Zweckbindung
   Ein Tracking-Cookie, das nur zur Messung von Seitenaufrufen gedacht ist, wird zweckentfremdet, um Identifikatoren zu synchronisieren. Nutzer:innen erwarten nicht, dass Browserdaten mit ihrer App-Identität gematcht werden.
4. Mögliche Abhör-Angriffe
   Da Dritthersteller-Apps ebenfalls Ports auf localhost öffnen dürfen, könnte eine bösartige App im Hintergrund laufende Pixel/Metrica-Nachrichten mitschneiden und so Browserverläufe ausspähen.
5. Ohne informierte Einwilligung verstoßen Website-Betreiber:innen gegen Artikel 6 DSGVO (Rechtsgrundlage) und ePrivacy-Richtlinie.

Meta hat Anfang Juni 2025 gemäß eigener Aussagen das Pixel-Script überarbeitet und den lokalen Datentransfer weitgehend deaktiviert. Yandex hat bislang keine öffentliche Änderung kommuniziert. Nutzer können das Tracking neuerdings auch über folgende Browser Updates verhinden:

• Chrome 137+ (Android) blockiert inzwischen die Ports, über die Meta und Yandex kommunizieren.
• Firefox 138+ (Android) arbeitet an ähnlichen Sperren.
• Brave und DuckDuckGo Mobile blockieren localhost-Anfragen standardmäßig

Ähnliche Beiträge:

Projekt Ghostbusters: Wie Facebook Snapchat ausspionierte Datenleck in Apples Wi-Fi Positionierungssystem gibt weltweit Gerätestandorte preis Datenleck: Chinesischer Balkonkraftwerkhersteller Deye weist Verantwortung von sich Twitter trainiert KI mit Nutzerdaten: Opt-Out möglich