In der heutigen Zeit, in der Smartphones nahezu allgegenwärtig sind, bleibt die Privatsphäre der Nutzer ein zentrales Anliegen. Insbesondere Android-Nutzer sehen sich einer komplizierten Landschaft von Datenschutzrisiken gegenüber, bei denen große Technologieunternehmen wie Meta und Yandex mit ihren Anwendungen eine wichtige Rolle spielen. Deren Apps und begleitende Webtracker setzen fortschrittliche, aber oft hinterhältige Techniken ein, um Nutzerdaten zu verknüpfen und Identitäten zu enttarnen – ein Prozess, der als De-Anonymisierung („Deanon“) bekannt ist. Forschungen von unabhängigen Expertengruppen haben gezeigt, wie der Code von Meta und Yandex, der auf Millionen von Webseiten eingebunden ist, Android-Nutzer auf eine Art und Weise de-anonymisiert, die tief in die Funktionsweise moderner Browser und mobiler Systeme eingreift. Interessanterweise machen sich diese Unternehmen sichere und legitime Protokolle zunutze, um ein heimliches Zusammenspiel zwischen Browsern und nativen Apps herzustellen.
Dieses Zusammenspiel ermöglicht es, einzigartige Identifikatoren aus dem Websurfverhalten an installierte Anwendungen zu übermitteln – selbst wenn der Nutzer glaubt, im privaten Modus zu surfen. Das Sicherheitskonzept von Android sieht eigentlich eine strenge Isolation der Anwendungsprozesse und eine sogenannte Sandbox vor, die verhindern soll, dass Apps und Browser untereinander heimlich kommunizieren. Doch diese Schutzmechanismen konnten von den genannten Unternehmen ausgehebelt werden. Hierfür nutzen sie eingesetzte Tracking-Skripte wie Meta Pixel und Yandex Metrika, die in Webseiten eingebettet sind und eine nicht erkennbare Brücke zwischen Browserdaten und mobilen Apps schlagen. Diese Tracking-Skripte kommunizieren über lokale Ports auf dem Gerät, genauer gesagt mit dem IP-Adressraum 127.
0.0.1 (localhost). Android erlaubt Browsern, Webanfragen an lokale Ports zu senden – dies wird offiziell für legitime Datenübertragungen zwischen Apps genutzt, etwa um Dateien zu teilen oder Verbindungen aufzubauen. Genau an dieser Stelle liegen die Schwachstellen: Meta und Yandex manipulieren WebRTC-Protokolle und WebSocket-Verbindungen, um Web-Cookies oder andere eindeutige Nutzerkennungen in einem für die Apps lesbaren Format zu übertragen.
Aufgrund des funktionalen Designs lauschen installierte Apps von Facebook, Instagram und Yandex ständig auf den entsprechenden Ports und können auf diese Weise Web-Identifikatoren mit der Nutzerkonten-ID verknüpfen. Technisch gesehen funktioniert der Prozess über eine sogenannte Session Description Protocol (SDP) Manipulation. Hierbei wird ein WebRTC-Protokoll verändert, um Cookies – beispielsweise die _fbp-Kennung bei Meta – in die Kommunikationsdaten einzubetten. Wenn diese SDP-Nachricht von Browser an den lokalen Host gesendet wird, liest die native Anwendung die darin enthaltenen Informationen aus und verknüpft sie mit dem authentifizierten Nutzer. Dieser Vorgang wurde zuerst von Yandex ab 2017 umgesetzt und von Meta im Herbst 2024 übernommen und verfeinert.
Diese Methode ist besonders kritisch, weil sie datenschutzrelevante Trennlinien durchbricht. Eingebettete Skripte konnten bislang nicht so einfach mit nativen Apps kommunizieren. Die Folge ist, dass das Websurfverhalten, normalerweise als anonymer Browser-Kontext angesehen, plötzlich mit einer individuellen Nutzeridentifikation verknüpft wird. Somit sind alle Aktivitäten auf Webseiten mit dem Facebook- oder Yandex-Konto verknüpfbar – eine Form von Tracking, die die Privatsphäre massiv einschränkt. Mittlerweile haben mehrere Browser Schutzmechanismen implementiert, um solche lokalen Port-Verbindungen auf Android einzuschränken.
Beispielsweise blockiert die Beta-Version von Google Chrome bestimmte Manipulationen von WebRTC-Daten und hat die Verwendung von STUN- und TURN-Protokollen, die für die Übertragung genutzt wurden, limitiert. Browser wie Brave und DuckDuckGo setzen konsequent auf Blocklisten und verhindern die Kommunikation zwischen Tracking-Skripten und lokalen Ports. Trotzdem sind manche Chromium-basierte Browser wie Vivaldi nach wie vor anfällig, solange nicht speziell aktivierte Schutzmechanismen aktiviert wurden. Die Herausforderung liegt darin, dass die technische Lösung nicht einfach durch Blacklists zu erreichen ist, weil Tracker neue Orte und Wege finden, Daten zu übertragen. Die dauerhafte Absicherung erfordert tiefgreifende Änderungen auf Systemebene, insbesondere was die Kontrolle des lokalen Host-Netzwerks auf Android betrifft.
Momentan werden solche Zugriffe von der Plattform nicht überwacht oder können vom Nutzer nicht problemlos eingeschränkt werden. Ein weiterer Aspekt ist die fehlende Transparenz und das mutmaßlich fehlende Einverständnis der Betroffenen. Nutzer werden selten oder gar nicht darüber informiert, dass Meta Pixel oder Yandex Metrika nicht nur Webaktivitäten tracken, sondern auch mit installierten Apps kommunizieren, um ihre Identität zu enttarnen. Webseitenbetreiber zeigten sich ebenfalls überrascht, als sie auf diese Problematik aufmerksam gemacht wurden, da von ihnen keine bewusste Erlaubnis eingeholt wird. Rechtlich besteht Unsicherheit darüber, ob diese Praktiken gegen Datenschutzgesetze wie die DSGVO oder entsprechende nationale Vorschriften verstoßen.
Zahlreiche frühere Klagen gegen Meta wegen Intransparenz und Missbrauch von Nutzerdaten verdeutlichen jedoch das heikle Umfeld, in dem solche Tracking-Technologien agieren. In Einzelfällen haben Gerichte bereits Meta sanktioniert, weil persönliche Daten ohne ausreichend informierte Zustimmung gesammelt wurden. Für Anwender ist es derzeit ratsam, den Einsatz von Meta- und Yandex-Anwendungen auf Android-Geräten kritisch zu prüfen. Ein Verzicht auf diese Apps oder der konsequente Einsatz von Browsern mit erweiterten Schutzfunktionen kann das Risiko des De-Anons mindern. Darüber hinaus empfehlen Experten, die Privatsphäre-Einstellungen auf Geräten und in den Apps sorgfältig zu hinterfragen und wo möglich die Nutzung solcher Tracker über angemessene Ad-Blocker oder Datenschutz-Add-ons einzuschränken.
