Meta und Yandex - unerlaubtes Android Nutzer Tracking über Localhost Verbindungen

Table of Contents

Viele Websites binden Meta Pixel (Facebook/Instagram) oder Yandex Metrica ein, um Besucherdaten zu sammeln. Doch seit Herbst 2024 nutzen beide Anbieter eine versteckte Methode, bei der ihr JavaScript im mobilen Browser mit nativen Android-Apps auf demselben Gerät kommuniziert – über „localhost“-Verbindungen, wie die Seite Localmess auf Github berichtet. Dadurch lassen sich Web-Cookies (z. B. das Meta-_fbp-Cookie) heimlich an App-Identitäten (Facebook/Instagram-Logins, Android Advertising ID) koppeln und Nutzer eindeutig wiedererkennen, selbst wenn sie im Inkognito-Modus surfen oder Cookies gelöscht haben. Der Meta Pixel ist laut HTTP Archive in rund 2,4 Millionen der meistbesuchten Websites eingebunden. Yandex Metrica findet sich auf etwa 575 000 Sites (EU-Crawl) bzw. 1,3 Millionen (US-Crawl).

Funktionsweise

  1. App startet und lauscht
    Nach dem Öffnen sendet die Facebook- oder Instagram-App (bzw. diverse Yandex-Apps) im Hintergrund UDP- oder HTTP-Ports an, etwa 12580–12585 (Meta) oder 29009, 30102 (HTTP) sowie 29010, 30103 (HTTPS) (Yandex).
  2. Website lädt Pixel/Metrica-Script
    Besucht der Nutzer eine Seite mit Meta Pixel oder Yandex Metrica, initiiert das dort eingebettete JavaScript eine lokale Verbindung zu „127.0.0.1“ und schickt Tracking-Daten (z. B. den _fbp-Cookie oder Anfragen mit verschlüsselten Parametern).
  3. Native App empfängt Daten
    Die jeweilige App liest diese Informationen aus (z. B. _fbp-Cookie, AAID, UUIDs) und sendet sie zusammen mit ihrem eigenen Nutzer-Profil an die eigenen Server. Damit verknüpfen Meta und Yandex Web-Besuche mit einer realen Nutzer-ID.
  4. Konsequenz
    Selbst wenn Cookies gelöscht, Inkognito-Tabs genutzt oder Cookie-Consent verweigert werden, laufen diese lokalen Anfragen weiter – ohne dass Nutzer:innen davon wissen.

Aus der Verwendung dieses Mechanismus ergeben sich folge Datenschutzproblematiken:

  1. De-Anonymisierung
    Aus dem First-Party-_fbp-Cookie, das eigentlich nur auf Domain-Ebene gelten soll, wird mittels localhost-Brücke eine permanente Profil-ID, die mit dem Facebook/Instagram-Account verknüpft ist. Erstmals lässt sich so nachvollziehen, welche Websites ein Nutzer besucht, und das sogar in unterschiedlichen Browser-Sessions.
  2. Umgehung von Consent-Mechanismen
    Viele Seiten feuern die lokalen Anfragen, bevor Nutzer:innen überhaupt ein Cookie-Banner bestätigen. Das bedeutet, es fehlt jede rechtliche Grundlage (§ 6 Abs. 1 DSGVO).
  3. Verstoß gegen Datenminimierung und Zweckbindung
    Ein Tracking-Cookie, das nur zur Messung von Seitenaufrufen gedacht ist, wird zweckentfremdet, um Identifikatoren zu synchronisieren. Nutzer:innen erwarten nicht, dass Browserdaten mit ihrer App-Identität gematcht werden.
  4. Mögliche Abhör-Angriffe
    Da Dritthersteller-Apps ebenfalls Ports auf localhost öffnen dürfen, könnte eine bösartige App im Hintergrund laufende Pixel/Metrica-Nachrichten mitschneiden und so Browserverläufe ausspähen.
  5. Ohne informierte Einwilligung verstoßen Website-Betreiber:innen gegen Artikel 6 DSGVO (Rechtsgrundlage) und ePrivacy-Richtlinie.

Meta hat Anfang Juni 2025 gemäß eigener Aussagen das Pixel-Script überarbeitet und den lokalen Datentransfer weitgehend deaktiviert. Yandex hat bislang keine öffentliche Änderung kommuniziert. Nutzer können das Tracking neuerdings auch über folgende Browser Updates verhinden:

  • Chrome 137+ (Android) blockiert inzwischen die Ports, über die Meta und Yandex kommunizieren.
  • Firefox 138+ (Android) arbeitet an ähnlichen Sperren.
  • Brave und DuckDuckGo Mobile blockieren localhost-Anfragen standardmäßig

Related Posts

Twitter trainiert KI mit Nutzerdaten: Opt-Out möglich

Die Social-Media-Plattform X, ehemals Twitter, hat durch eine standardmäßig aktivierte Datenfreigabe-Funktion Kritik ausgelöst. Diese Funktion erlaubt es X, Nutzerdaten, einschließlich Posts und Interaktionen mit dem KI-Chatbot Grok, an Elon Musks KI-Unternehmen xAI weiterzugeben. xAI verwendet diese Daten zur Schulung seiner KI-Modelle.

Read More

Datenleck bei Pinterest betrifft 60 Mio Datensätze

Am 15. Juli 2024 berichtete cyberpress.org über ein mögliches Datenleck bei Pinterest, bei dem angeblich 60 Millionen Datensätze von Nutzern veröffentlicht wurden. Der Hacker “Tchao1337” behauptet, eine Datenbank mit E-Mail-Adressen, Benutzernamen, Benutzer-IDs und IP-Adressen auf einem Datenleck-Forum hochgeladen zu haben.

Read More

Datenleck: Chinesischer Balkonkraftwerkhersteller Deye weist Verantwortung von sich

Auf dem Blog von Günther Born wird berichtet, dass Balkonkfraftwerkbesitzer über die Deye-Cloud auf Solardaten einer fremden Person zugreifen konnte. Die Wechselrichter von Deye, die in vielen Balkonkraftwerken und Solaranlagen in Deutschland eingesetzt werden, sind über das Internet verbunden und speisen Daten in eine Cloud in China. Dies wirft nicht nur erhebliche Datenschutzprobleme auf, da fremde Anlagendaten samt persönlicher Informationen sichtbar wurden, sondern ist über dies noch schlecht programmiert, so dass man Anlagendaten fremder Besitzer angezeigt bekommt. Deye bestritt laut Born das Problem, und verweist darauf, dass die Nutzer die fremden Anlagen selbst angelegt haben sollen.

Read More