{"id":312275,"date":"2025-06-05T02:56:28","date_gmt":"2025-06-05T00:56:28","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=312275"},"modified":"2025-06-07T10:24:18","modified_gmt":"2025-06-07T08:24:18","slug":"android-meta-und-yandex-hebeln-sandboxing-aus-und-tracken-nutzer","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2025\/06\/05\/android-meta-und-yandex-hebeln-sandboxing-aus-und-tracken-nutzer\/","title":{"rendered":"Android: Meta und Yandex hebeln Sandboxing aus und tracken Nutzer"},"content":{"rendered":"

\"Stop[English<\/a>]Ich kippe mal einen Hinweis ein, der mir bereits vor einigen Tagen untergekommen ist. Wer auf Android Apps bzw. Dienste von Meta (Facebook & Co.) oder Yandex (russisch, eher weniger verbreitet in DACH) verwendet, wurde getrackt. Sicherheitsforscher haben herausgefunden, dass Tracking-Pixel die Sandbox-Isolation im Browser aushebeln und pers\u00f6nliche Daten der Nutzer an Apps und an die Server der Dienste \u00fcbermitteln. Meta hat, nachdem man aufgeflogen ist, diesen Tracking-Mechanismus zum 3. Juni 2025 eingestellt.<\/p>\n

<\/p>\n

\"\"Die Information habe ich bei Golem im Beitrag\u00a0Meta und Yandex de-anonymisieren Android-Nutzer<\/a> gelesen. Der technische Sachverhalt zusammengefasst: Die beiden Dienste nutzen Tracking-Pixel im Browser unter Android, um den Nutzer zu de-anonymisieren. Dazu werden die Apps von Chrome sowie andere Browser-Apps dazu gebracht, eindeutige IDs an native Android-Apps zu senden.<\/p>\n

Android-Tracking \u00fcber localhost<\/h2>\n

Eigentlich sollte das Sandboxing in Browser-Apps unter Android den Abfluss von Benutzerdaten an andere Apps verhindern. Durch eine im Browser erzeugte eindeutige ID\u00a0 wurde die Identit\u00e4t des Benutzers von den Browsern per Cookie \u00fcber localhost an die nativen Android-Apps von Facebook und Instagram sowie an verschiedene Yandex-Apps weitergeben.<\/p>\n

In der jeweiligen App der Anbieter war der Nutzer ja registriert und mit Namen, E-Mail und ggf. Telefonnummer bekannt.\u00a0Konkret konnten die genannten Anbieter dadurch den Verlauf im Browser des Nutzers mit dem in der App verwendeten Benutzerkonto verkn\u00fcpfen und so die Surfgewohnheiten\u00a0 und weitere Details auswerten.<\/p>\n

\"User<\/a><\/p>\n

Die Entdeckung ist Forschern des \u00a0Instituts IMDEA Networks (Madrid), der niederl\u00e4ndischen Radboud Universit\u00e4t und der belgischen Universit\u00e4t Leuven gelungen. Diese haben\u00a0diese Webseite<\/a> mit detaillierten technischen Informationen aufgesetzt.<\/p>\n

Dort findet man auch den Hinweis, dass laut der Analyse-Seite\u00a0Laut BuiltWith das sogenannte Meta Pixel in \u00fcber 5,8 Millionen Websites integriert ist. Yandex Metrica hingegen ist auf fast 3 Millionen Websites zu finden. Laut HTTP Archive, einem offenen und \u00f6ffentlichen Datensatz, der monatliche Crawls von ~16 Millionen Websites durchf\u00fchrt, sind Meta Pixel und Yandex Metrica auf 2,4 Millionen bzw. 575.448 Websites zu finden. Durch diese Pixel und das Web-to-App-Tracking wurde der Nutzer quasi gl\u00e4sern.<\/p>\n

Diese illegale Praktik zum Web-to-App-Nutzertracking wurde von Yandex seit 2017 und von Meta seit September 2024 ausgenutzt. In obigem Screenshot liest man, dass Meta diese Praxis zum 3. Juni 2025 (7:45 Uhr europ\u00e4ischer Zeit) eingestellt hat. Durch die Offenlegung des Sachverhalts sind Meta und Yandex nun erwischt worden – was f\u00fcr Meta wom\u00f6glich ein juristisches Nachspiel hat.<\/p>\n

Auch deutsche Unternehmen dabei<\/h2>\n

Eigentlich wollte ich das Thema hier im Blog unter den Tisch fallen lassen, da Yandex eigentlich hier in DACH keine so dolle Verbreitung haben sollte. Und bei Nutzern, die Apps von Meta (WhatsApp, Facebook, Instagram) verwenden, ist Warnung vor Tracking eh \"gegen die Wand reden\" – die M\u00fche spare ich mir. Zudem werde ich momentan so mit Themen zugesch\u00fcttet, dass mir die Luft f\u00fcr viele Schlenker fehlt.<\/p>\n

Aber Hans hatte mich auf den Artikel zum Web-to-App Cookie-Tracking<\/a> von Mike Kuketz hingewiesen. Zudem hatte Bernie im Diskussionsbereich den Hinweis auf den Kuketz-Artikel mit Web-zu-App-Tracking: Wie Meta & Yandex Android-Nutzer deanonymisieren<\/a> eingestellt. Bernie meinte:<\/p>\n

Der Trick umgeht Inkognito-Modus, Cookie-L\u00f6schen und Werbe-ID-Reset.<\/p>\n

Milliarden Nutzer und Millionen Webseiten sind (oder waren) betroffen.<\/p>\n

Bis die \u00bbL\u00fccke\u00ab geschlossen ist: Tracker blockieren, Browser aktualisieren, generell auf Meta-\/Yandex-Apps verzichten bzw. diese deaktivieren, falls eine Deinstallation nicht m\u00f6glich ist.<\/p><\/blockquote>\n

Soweit ich es verstanden habe, funktionierte die \"L\u00fccke\" nur, wenn die nativen Apps der genannten Anbieter verwendet wurde. Allerdings gehe ich davon aus, dass der Benutzer auch im Browser per JavaScript getrackt wird, da dort i.d.R. auch eine Nutzeranmeldung vorliegt.<\/p>\n

Norddeutsch wies dann noch im Diskussionsbereich auf den heise-Artikel<\/a> zum Thema hin und merkte an, dass zig Organisationen, Banken, Versicherungen, Unternehmen oder Konzerne wohl mitmachen und Meta-Pixel in ihre Webseite einbinden. Der Artikel hier<\/a> beschreibt, wie man die Verwendung des Meta-Pixels im Browser feststellen kann. Norddeutsch merkt an, dass er bei einer\u00a0schnellen Suche nach DE-TLDs folgende Treffer bekommen habe:<\/p>\n

1und1.de, aktion-mensch.de,
\nalamy.de, ancestry.de,
\naudible.de, bonprix.de
\ncenterparcs.de, chip.de, commerzbank.de
\ndak.de, eventim.de, kaufland.de
\nmainpost.de, stepstone.de
\ntelekom.de , tipico.de
\nvodafone.de, .it .ua .com.au .qa<\/p><\/blockquote>\n","protected":false},"excerpt":{"rendered":"

[English]Ich kippe mal einen Hinweis ein, der mir bereits vor einigen Tagen untergekommen ist. Wer auf Android Apps bzw. Dienste von Meta (Facebook & Co.) oder Yandex (russisch, eher weniger verbreitet in DACH) verwendet, wurde getrackt. Sicherheitsforscher haben herausgefunden, dass … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4308,4346,451,8353,4328],"class_list":["post-312275","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-android","tag-app","tag-datenschutz","tag-meta","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/312275","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=312275"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/312275\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=312275"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=312275"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=312275"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}