Meta und Yandex beim Umgehen von Datenschutzmaßnahmen durch Localhost-Tracking erwischt
Sicherheitsforscher haben enthüllt, dass Meta und Yandex native Android-Apps verwendet haben, um auf Localhost-Ports zu lauschen, wodurch Webbrowserdaten mit Benutzeridentitäten verknüpft und typische Datenschutzmaßnahmen umgangen wurden. Metas Pixel-Skript sendet keine Daten mehr an Localhost und der größte Teil des Tracking-Codes wurde entfernt, wahrscheinlich um Verstöße gegen die Google Play-Richtlinien zu vermeiden. Die Forscher haben herausgefunden, dass Facebook-, Instagram- und Yandex-Apps heimlich Cookie-Daten über feste lokale Ports gesammelt haben, wodurch die Browseraktivität mit Benutzeridentitäten verknüpft und das Löschen von Cookies, der Inkognito-Modus und die App-Berechtigungssysteme umgangen wurden. Meta setzte diese Technik ab September 2024 ein und verwendete dabei die Protokolle HTTP, WebSocket und WebRTC. Meta hat diese Praxis inzwischen eingestellt, aber Yandex verwendet sie weiterhin. Chrome 137 enthält einige Gegenmaßnahmen, und Firefox und DuckDuckGo ergreifen ebenfalls Maßnahmen.