Sie entdeckten, dass native Android-Apps, darunter Facebook, Instagram und mehrere Yandex-Apps wie Maps, Navi, Browser und Search, im Hintergrund über feste lokale Ports von Mobilgeräten lauschen, um die Browsing-Aktivitäten der Nutzer ohne deren Zustimmung zu de-anonymisieren.

Durch das Einbetten von Tracking-Code in Millionen von Websites konnten Meta Pixel und Yandex Metrica das Surfverhalten von Android-Nutzern ihren permanenten Identitäten zuordnen (d. h. während der Kontoinhaber angemeldet ist). Diese Methode umgeht die Datenschutzmechanismen der Android-Berechtigungsverwaltung und sogar den Inkognito-Modus und betrifft gängige Android-Browser. Das internationale Forschungsteam hat mehrere Browserhersteller über das Problem informiert, und diese arbeiten aktiv an Maßnahmen, um diesen Missbrauch einzudämmen. So wird beispielsweise erwartet, dass Chrome in Kürze entsprechende Anpassungen vornehmen wird.

Diese Tracking-Unternehmen wenden diese Umgehungsmethode schon seit Längerem an: Yandex seit 2017 und Meta seit September 2024. Die Zahl der Betroffenen ist hoch, da Meta Pixel und Yandex Metrica schätzungsweise auf 5,8 Millionen bzw. 3 Millionen Websites installiert sind. Bemerkenswert ist auch, dass diese Tracking-Praxis bisher nur auf Android-Geräten beobachtet wurde.

Das Verfahren von MetaPixel und Yandex Metrica:
Gemäß dem Berechtigungsmodell des Android-Betriebssystems kann jede Anwendung, die die INTERNET-Berechtigung deklariert, problemlos einen lokalen Webserver im Hintergrund innerhalb der Anwendung erstellen und ausführen. Dabei werden TCP- (HTTP) oder UDP-Sockets (WebRTC) verwendet. Im Webkontext bieten die meisten modernen Browser programmatische Unterstützung mit JavaScript-Code, um HTTP-Anfragen oder WebSocket-Nachrichten an den lokalen Host (127.0.0.1) zu senden, oder eine WebRTC-API, um Nachrichten an einen Server zu senden.

„Interessant ist hierbei, wo die Verbindung hergestellt wird und wie diese Tracker den mobilen Webverkehr der Nutzer de-anonymisieren können. Im Fall des Meta-Pixels werden lokale Kanäle genutzt, um Browser-IDs via WebRTC mit nativen Apps wie Facebook oder Instagram zu teilen. Die Daten werden mit dem Konto des angemeldeten Nutzers verknüpft, und die App leitet sie unbemerkt an die Server von Meta weiter. Yandex verfolgt einen passiveren, aber ebenso invasiven Ansatz: Das in Yandex-Apps integrierte AppMetrica SDK lauscht auf lokalen Ports, erfasst eingehende Web-Tracking-Daten, aggregiert sie mit mobilen Kennungen wie der Android-Werbe-ID und sendet das angereicherte Profil an den in die Website eingebetteten Yandex-Pixel“, erklärt Aniketh Girish, Doktorandin bei IMDEA Networks und eine der an dieser Studie beteiligten Forscherinnen. „Trotz unterschiedlicher Taktiken erzielen beide Tracker dasselbe Ergebnis: die nahtlose Verknüpfung von mobilen und Web-Identitäten, ohne dass sich der Nutzer registrieren muss“, fügt sie hinzu.

Die Doktorandin Nipuna Weerasekara, eine weitere an dieser Studie beteiligte Forscherin, erklärt zu Yandex Metrica: „Am meisten überraschte mich die Dynamik der Yandex-Apps, die das AppMetrica SDK nutzen. Yandex implementiert diese Tracking-Methode ähnlich wie die Command-and-Control-Server von Malware, indem es zur Laufzeit die Konfigurationen der Listening-Ports und die Startverzögerungen von den Yandex-Servern abruft. Wir beobachteten, dass diese Apps nach der Installation bis zu drei Tage warten, bevor sie ihre lokalen Host-Listener aktivieren. Wir vermuten, dass dies eine absichtliche Verzögerung ist, um Untersuchungen zu entgehen. Dieses Design ermöglicht es Yandex-Apps, sich sofort anzupassen und möglicherweise Browser-Schutzmaßnahmen in Google Chrome, wie die statische Blockierung lokaler Ports, zu umgehen. Durch einfaches Rotieren der Ports auf dem Server können diese Apps trotz Gegenmaßnahmen einen permanenten Datenkanal zwischen Web und App aufrechterhalten.“.

Missbrauch verhindern:
Laut Narseo Vallina-Rodríguez, außerordentlicher Forschungsprofessor bei IMDEA Networks und Leiter der Forschungsgruppe, liegt die Lösung zur Verhinderung dieses Missbrauchs darin, dass mobile Plattformen und Browser ihre Zugriffsverwaltung auf lokale Ports überprüfen. „Das grundlegende Problem, das diesen Angriff ermöglicht, ist die mangelnde Kontrolle über die lokale Host-Kommunikation auf den meisten modernen Plattformen. Bis zu unserer Veröffentlichung waren Android-Nutzer, die von Yandex und Meta Pixel ins Visier genommen wurden, dieser Tracking-Methode völlig schutzlos ausgeliefert. Es ist möglich, dass die meisten Browserhersteller und Plattformbetreiber diesen Missbrauch in ihren Bedrohungsmodellen gar nicht berücksichtigt haben.“ Weiter heißt es: „Daher sollten technische Maßnahmen legitime Anwendungen lokaler Host-Sockets, wie Betrugsbekämpfung oder Authentifizierungsmethoden, nicht beeinträchtigen. Jegliche technische Lösungen, wie neue Sandboxing-Prinzipien und strengere Testmodelle, müssen durch strengere Plattformrichtlinien und Verifizierungsprozesse ergänzt werden, um Missbrauch einzuschränken und andere Tracking-Dienste von der zukünftigen Anwendung ähnlicher Methoden abzuhalten.“
Derzeit gibt es keine Hinweise darauf, dass Meta oder Yandex diese Tracking-Funktionen den Websites, auf denen die Tracker gehostet werden, oder den Endnutzern, die diese besuchen, offengelegt haben. Informationen aus Entwicklerforen deuten darauf hin, dass Meta und Yandex dieses Verhalten möglicherweise nicht den Entwicklern von Websites mitgeteilt haben, die ihre Tracking-Lösungen integrieren. Tatsächlich waren viele Website-Betreiber, die Meta Pixel verwenden, überrascht, als das Skript begann, sich mit lokalen Ports zu verbinden, wie mehrere Forenbeiträge nahelegen. Bis Google und andere große Browser reagieren, besteht die einzige Möglichkeit, diese Missbräuche zu verhindern, darin, Apps wie Facebook oder Instagram sowie die zuvor erwähnten Yandex-Apps nicht herunterzuladen.
Gunes Acar, Dozent an der Radboud-Universität, der die Forschung mitgeleitet und die ursprüngliche Entdeckung gemacht hat, betont: „Meta hat Website-Betreiber nicht nur nicht über diese Tracking-Methode informiert, sondern auch ihre Beschwerden und Fragen ignoriert.“ Er schlussfolgert: „Diese Art von plattformübergreifendem Tracking ist beispiellos und besonders schockierend, da sie von zwei Unternehmen ausgeht, die Milliarden von Nutzern weltweit bedienen.“ Bezüglich der infolge ihrer Enthüllungen implementierten Schutzmaßnahmen: „Wir freuen uns, dass Browser-Entwickler wie Chrome und DuckDuckGo dank unserer Erkenntnisse bereits Korrekturen veröffentlicht haben.“