Neue Forschung zeigt, wie Meta- und Yandex-Apps die Android-Datenschutzmaßnahmen umgingen und Milliarden von Nutzern ausspionierten. Erfahren Sie, wie das versteckte Tracking funktionierte und was als Nächstes kommt.
| Metas Pixel | Verfolgt Nutzer auf 5,8 Millionen Websites |
| Betroffene Nutzer | Billions von Android-Geräten weltweit |
| Inkognito-Modus? | Nicht sicher – Tracking bestand selbst im privaten Surfen fort |
| Sofortiger Stopp | Meta stoppte die Technik nach der Enthüllung am 3. Juni 2025 |
Scrollen, liken, browsen – denken Sie, Sie hätten die Kontrolle? Denken Sie nochmal nach. Bahnbrechende Forschung des IMDEA Networks Institute hat einen erstaunlichen Datenschutz-Blindspot aufgedeckt: Facebook- und Instagram-Apps haben heimlich verfolgt, was Android-Nutzer online tun – unabhängig von ihren Datenschutzeinstellungen, selbst beim Surfen im Inkognito-Modus.
Wie funktionierte Metas versteckter Tracker?
Stellen Sie sich Ihr Smartphone als eine geschäftige Stadt mit versteckten Funkmasten vor. Jedes Mal, wenn Sie Facebook oder Instagram installieren, aktivieren diese Apps leise geheime „Listener“ – Hintergrunddienste, die auf speziellen Netzwerkports lauern.
Wenn Sie eine Website besuchen, die mit Metas Tracking-Pixel ausgestattet ist (und 5,8 Millionen Websites haben diese), zapft eingebettetes JavaScript diese geheimen Kanäle an. Es spielt keine Rolle, ob Sie im Inkognito-Modus sind oder sich nie in Ihrem Browser bei Facebook angemeldet haben – Ihre einzigartige Browsersitzung und Geräteidentität fließen still zurück zur App. Die Facebook- oder Instagram-App leitet diese privaten Webaktivitäten direkt an Metas Server weiter und verknüpft sie direkt mit Ihrem angemeldeten Profil.
Was machte diese Methode so gefährlich?
Traditionelle Web-Tracker leben und sterben durch Cookies, die Sie löschen oder blockieren können. Dieser Trick funktioniert nicht so. Durch die Ausnutzung des Berechtigungssystems von Android umgingen Metas Apps die Kontrollen und Datenschutzeinstellungen des Browsers vollständig. Cookies zu löschen? Sinnlos. Nicht im Browser angemeldet? Irrelevant. Ihre Aktivitäten flossen weiterhin still in die Datenbanken von Facebook und Instagram.
In den Tests von IMDEA bei den 100.000 beliebtesten Websites versuchten erstaunliche 78 % der Seiten, die Metas Pixel verwendeten, über diese geheimen lokalen Kanäle zu kommunizieren – ohne jemals um Erlaubnis zu bitten.
Q: Haben mich die Datenschutz-Tools von Android geschützt?
Nein. Da diese Methode Netzwerk-Sockets auf Betriebssystemebene ausnutzte, sahen die Datenschutzsysteme von Android einfach nicht kommen. Selbst leistungsstarke Funktionen wie der Inkognito-Modus oder der Tracking-Schutz waren machtlos.
Wie ausgeklügelt war die Strategie von Yandex?
Nicht zu übertreffen, erhöhte der russische Riese Yandex die Einsatzhöhe. Seine Maps-, Browser- und Such-Apps nutzten ein „Command-and-Control“-System mit ihrem AppMetrica SDK. Nach der Installation der Yandex-Apps wurde die Überwachung verzögert – manchmal um Tage – um besser der Entdeckung zu entgehen. Forscher verglichen die Flexibilität des Systems mit Malware, wobei die Apps Tracking-Anweisungen direkt von Yandex-Servern abfragten und Milliarden von Nutzern auf 3 Millionen überwachten Websites beobachteten.
Noch schlimmer: Yandex verwendete unverschlüsselte Kommunikation, was bedeutete, dass jede böswillige App mithören und ein Echtzeitprotokoll Ihrer Webaktivitäten stehlen konnte.
Q: Wie konnten böswillige Apps die Situation verschlimmern?
Wenn Meta und Yandex hören können, kann das Malware auch. Das Team von IMDEA baute eine Proof-of-Concept-App, die dieselben Ports ausnutzte. Ergebnis: Jede betrügerische App könnte potenziell Ihren gesamten Browserverlauf stehlen – weit über das hinaus, was datenschutzbewusste Nutzer erwarten.
Wie reagierten die Website-Betreiber?
Website-Betreiber waren überrascht. Forenbeiträge waren voll von Verwirrung und Frustration, als Entwickler unerklärliche lokale Verbindungen aus der Meta-Pixel-Bibliothek entdeckten – aber keine offizielle Dokumentation oder Unterstützung von Meta oder Yandex fanden.
Q: Was tun Plattformen und Browser jetzt?
Die Rückmeldung war schnell. Nachdem die Forschung öffentlich wurde, wurde die Meta-Tracking-Pipeline am 3. Juni 2025 weltweit abrupt eingestellt. Die Version 137 von Google Chrome blockiert nun die Ports und deaktiviert den Trick (genannt „SDP Munging“), der diese Verbindungen maskierte. Andere Browserhersteller beeilen sich, ähnliche Schlupflöcher zu patchen.
Dennoch bleibt die zugrunde liegende Schwäche: Aktuelle mobile Betriebssysteme bieten wenig Kontrolle oder Prüfung von localhost-Verbindungen, was raffinierten Trackern und potenziellen Angreifern eine offene Tür bietet.
Wie können sich Nutzer künftig schützen?
Für den Moment besteht die einzige sichere Verteidigung darin, Facebook, Instagram und die großen Apps von Yandex zu deinstallieren. Wie die Forschung betont, erfordert dauerhafter Schutz neue Sandbox-Strategien, strengere Plattformregeln und eine bessere Prüfung von App-Stores.
Lassen Sie nicht zu, dass geheime Überwachung entscheidet, wie Ihre Geschichte erzählt wird – fordern Sie jetzt stärkeren Datenschutz.
—
Handeln Sie: Datenschutz-Checkliste für 2025
- Aktualisieren Sie Ihren Browser auf die neueste Version (Chrome 137+ empfohlen)
- Überdenken Sie die Nutzung von Facebook, Instagram und Yandex-Apps auf Ihren Android-Geräten
- Überprüfen Sie regelmäßig die App-Berechtigungen und entfernen Sie Apps, denen Sie nicht vertrauen
- Überwachen Sie führende Datenschutznachrichtenquellen und fordern Sie Verantwortlichkeit von großen Tech-Unternehmen
- Unterstützen Sie unabhängige Wissenschafts- und Technologiejournalismus, um informiert zu bleiben
Bleiben Sie wachsam, bleiben Sie sicher – und kämpfen Sie weiterhin für den digitalen Datenschutz, den Sie verdienen.
