Datenspione im Handy: Wie Meta und Yandex heimlich Android-Nutzer überwachen

VonJörn Schmidt
Meta Logo
Quelle: Meta

Hallo Du, um keine News zu verpassen abonniere doch einfach kostenlos meine Kanäle, vielen Dank:

Ohne ihr Wissen könnten Millionen Android-Nutzer über Jahre hinweg systematisch ausspioniert worden sein – und das von Tech-Giganten wie Meta und Yandex. Mithilfe einer ausgeklügelten Methode verbanden die Unternehmen Webaktivitäten direkt mit App-IDs, selbst wenn Nutzer eigentlich anonym bleiben wollten.

Im Zentrum der Enthüllung steht ein Trick, der Webseiten-Code mit lokal installierten Apps auf Android-Geräten verknüpft. Skripte wie „Meta Pixel“ und „Yandex Metrica“ nutzen interne Netzwerkschnittstellen (localhost), um Identifikatoren aus dem Webbrowser unbemerkt an Apps wie Facebook, Instagram oder Yandex Maps weiterzugeben. Diese verschmelzen die erhaltenen Daten mit Benutzerkonten oder Geräte-IDs – und schicken sie anschließend an die Server der Anbieter.

Besonders perfide: Diese Technik funktionierte auch im Inkognito-Modus, bei gelöschten Cookies oder deaktivierter Werbung. Denn statt regulärer Tracking-Cookies kam eine Umleitung über die interne IP-Adresse 127.0.0.1 zum Einsatz – ein Bereich, der eigentlich dem Datenschutz dienen sollte. Dort lauschende Apps fingen die Daten ab und reichten sie weiter.

Laut den Sicherheitsexperten von „Local Mess“ wurden allein über 5 Millionen Webseiten mit Meta-Skripten und fast 3 Millionen mit Yandex-Code entdeckt. In tausenden Fällen geschah dies ohne Einverständnis der Nutzer – ein klarer Verstoß gegen geltende Datenschutzstandards.

Google reagierte prompt: Die fraglichen Praktiken verstoßen gegen die Play-Store-Regeln und Grundsätze für Android-Datenschutz. Als Konsequenz stoppten sowohl Meta als auch Yandex ihre Aktivitäten vorübergehend – erklärten jedoch, dass es sich um ein Missverständnis handle und keine sensiblen Informationen gesammelt würden.

Browserhersteller wie Chrome, Firefox, Brave und DuckDuckGo haben bereits mit Updates und Blocklisten reagiert. Chrome blockiert künftig missbrauchte Ports, Brave untersagt lokalen Datenverkehr standardmäßig, und Add-ons wie uBlock Origin oder AdGuard filtern die betroffenen Domains zuverlässig heraus.

Wer auf Nummer sicher gehen will, sollte verdächtige Apps deinstallieren oder zumindest einschränken, WebRTC im Browser deaktivieren und regelmäßig Sicherheitsupdates einspielen. Denn solange Android lokale Verbindungen nicht gezielt unterbindet, bleibt die Gefahr bestehen.

Quelle(n):
Local Mess


Links mit einem * sind Partner-Links. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalte ich eine kleine Provision. Für euch ändert sich am Preis nichts. Danke für eure Unterstützung!

Jörn Schmidt Profilbild

Android-Fan seit 2010, Outdoor- & Skandinavien-Fan, Kino-Freak und derzeitiger User eines Google Pixel 9 Pro XL mit Android 15

Ein Kommentar

  1. Viel lustiger ist, dass Chrome das mit Updates verhindern soll. Dabei ist Chrome einer der größten Spione. sobald du Chrome öffnest blockiert und nutzt er erstmal dein Mikro und deine Kamera ohne das es angezeigt wird.
    Das habe ich durch das mitschneiden der Daten herausgefunden. Aber das redet niemand drüber.

    Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert