Localhost Tracking: Meta und Yandex sollen Android-Nutzer heimlich ausspioniert haben

Die Technologiekonzerne Meta und Yandex haben offenbar über Jahre hinweg eine bislang unbekannte Methode genutzt, um Android-Nutzer im Web verdeckt zu verfolgen. Wie jetzt bekannt wurde, nutzten die Unternehmen dabei interne Kommunikationskanäle zwischen mobilen Browsern und installierten Apps, um Browserdaten auch ohne ausdrückliche Zustimmung der Nutzer zu erfassen.

Meta ist ein US-amerikanisches Technologieunternehmen, bekannt als Mutterkonzern von Facebook, Instagram und WhatsApp und führend im Bereich sozialer Netzwerke und Online-Werbung. Yandex ist ein russischer Technologiekonzern, bekannt als Betreiber der größten Suchmaschine Russlands sowie Anbieter zahlreicher Online-Dienste wie Navigation, Werbung und Cloudlösungen.

Veröffentlicht und technisch detailliert beschrieben wurde der Schnüffelangriff der Großkonzerne zunächst auf Github „Covert Web-to-App Tracking via Localhost on Android„. Wie cybersecuritynews berichtete, wurden in Millionen von Websites sogenannte Tracking-Skripte eingebettet, die über sogenannte „localhost“-Verbindungen – eigentlich für interne Systemzwecke gedacht – Informationen wie Cookies, IP-Adressen und andere Identifikatoren an Facebook-, Instagram– oder Yandex-Apps weiterleiteten. Die Technik funktionierte sogar im Inkognito-Modus und nach dem Löschen von Browserdaten.

Das Tracking verknüpfte die Aktivitäten auf Webseiten mit der installierten App auf dem Gerät und ermöglichte so umfassende Nutzerprofile. Nach Erkenntnissen von IT-Forschern wurde die Methode von Meta zwischen Ende 2023 und Mai 2025 kontinuierlich weiterentwickelt. Auch der russische Anbieter Yandex soll bereits seit mehreren Jahren ein ähnliches System nutzen.

Nachdem erste technische Analysen öffentlich wurden, stellten beide Unternehmen die Datenübertragung Anfang Juni ein. Zeitgleich reagierten Browseranbieter wie Google (Chrome) und Mozilla (Firefox) mit Sicherheitsupdates, um die betroffenen Ports künftig zu blockieren. Auch alternative Browser wie Brave und DuckDuckGo haben entsprechende Schutzmechanismen eingeführt.

Datenschützer und IT-Experten sehen in dem Vorgehen eine schwerwiegende Umgehung gängiger Datenschutz- und Sicherheitstechnologien. Es sei ein Beispiel dafür, wie technische Lücken im Zusammenspiel zwischen App und Browser für umfassendes Tracking genutzt werden könnten – ohne dass Nutzer dies bemerken oder unterbinden können.

Ob den Unternehmen rechtliche Konsequenzen drohen, ist noch offen. Datenschützer prüfen derzeit mögliche Verstöße gegen die Datenschutz-Grundverordnung (DSGVO). Der spanische Rechtsanwalt und Datenschutzexperte Jorge García Herrero vermutet, dass dieser Vorgang Meta viele Milliarden Dollar kosten könnte.