Meta und Yandex setzen verdeckte Tracker ein, um Nutzer ihrer Android-Apps zu de-anonymisieren und Werbeprofile zu erstellen. Das haben Sicherheitsforscher des Instituts IMDEA Networks herausgefunden. Nach Angaben der Forscher waren nach Angaben der Forscher Firefox, Edge und Chrome auf Android-Geräten betroffen.
Wie funktionierte die Spionage?
Yandex soll bereits seit 2017 den verdeckten Yandex Metrica Tracker einsetzen, um die User der Apps zu de-anonymisieren. Betroffen sind unter anderem die Apps „Yandex Go: Taxi Food“, Maps und Navigator des russisch-niederländischen Unternehmens. Die Anwendungen verknüpfen Browsercookies mit der Identität der Nutzer. Bei Meta soll seit September 2024 der verdeckte Tracker Meta-Pixel zum Einsatz gekommen sein. Der Meta-Pixel wird von 5,8 Millionen Seiten genutzt, der von Yandex ist auf 3 Millionen Webseiten zu finden. Durch den Einsatz unterschiedlicher technischer Möglichkeiten gelingt es, Kommunikationsbarrieren des Android-Betriebssystems zu umgehen. Dies geschieht insbesondere über sogenannte lokale „Listening Ports“, die eigentlich für die Kommunikation zwischen einem Client (z.B. Browser) und einem Server (z.B. Meta-Webserver) vorgesehen sind. Diese „Listening Ports“ können allerdings auch innerhalb einer Anwendung geöffnet werden, um damit zu spionieren. Das alles passiert ganz ohne die Einwilligung des App-Nutzers. Selbst wenn die App gerade nicht verwendet wird, läuft die Spionage im Hintergrund weiter. Surft ein betroffener User eines Android-Geräts jetzt auf einer Website mit dem verdeckten Meta-Pixel, wird geschnüffelt. Dies passiert, indem Meta ein Protokoll verwendet, das eigentlich für Streaming oder Videokonferenzen verwendet wird und mit diesem jetzt bestimmte Sicherheitsschranken überwunden werden können. Da nicht nur das pseudonyme Datenpaket an den Meta-Server geschickt wird, sondern auch an die lokale lauschende Android-App, wird der User persönlich erkannt, da er ja gerade beispielsweise bei Instagram angemeldet ist. Und dahintersteckt der Trick, denn die App erhält jetzt vom Browser die Anfrage zur De-anonymisierung des Cookies und verknüpft diese mit dem gerade eingeloggten Facebook-Konto. Die Android-App schickt diese Informationen direkt an Facebooks API, wodurch der User erfolgreich deanonymisiert ist. Sowohl Yandex als auch Meta war es durch die Umgehung der Datenschutz- und Sicherheitsvorkehrungen möglich, die User ihrer Apps eindeutig zu identifizieren. Selbst wenn der Android-User sich im „Inkognito-Modus“ befindet, läuft die Schnüffelei.
Weshalb schnüffeln die Konzerne?
Mehr als 70 Prozent aller überprüften Websites in Europa bauen laut dem Forscherteam diese Spionageverbindung ohne das Wissen oder eine Zustimmung des Nutzers auf. Dies geschieht augenscheinlich auch, ohne dass die Webseitenbetreiber davon Kenntnis haben. Durch das Umwandeln der flüchtigen Web-Identifikatoren in dauerhafte Nutzeridentitäten können die Unternehmen ganz spezifische Werbeprofile erstellen. Durch die Trackingcookies, die im eingeschleusten Datenpaket enthalten sind, ist es Meta und Yandex möglich, den Nutzern eine noch zielgerichtetere Werbung auszuspielen. Das hat für die Konzerne den Effekt, noch höhere Werbeerlöse zu erwirtschaften.
Weshalb ist das so gefährlich?
Durch diese Vorgehensweise der Unternehmen können unter anderem die Surfgewohnheiten von Usern in die falschen Hände geraten. Alle angesurften URLs, die ein Yandex Pixel enthalten, könnten zum Beispiel von einer Malware-App abgefangen werden, die sich der Ports bemächtigt, die Yandex einsetzt. Auch das wäre sogar im „Inkognito Modus“ möglich.
Hinterlasse jetzt einen Kommentar