Mastodawn

Mike Kuketz 🛡

Meta (Facebook, Instagram) & Yandex nutzen lokale Ports auf Android-Geräten, um Browserdaten mit nativen Apps zu verknüpfen. Dieses „Web-to-App-ID-Sharing“ hebelt Inkognito-Modus, Cookie-Löschen & Berechtigungssysteme aus. Betroffen: Milliarden Nutzer. Meta hat das Verhalten nach Offenlegung gestoppt. Nach meiner Ansicht wäre hier die Höchststrafe fällig: 4 % vom Umsatz!

https://localmess.github.io/

#Privacy #Android #Tracking #Meta #Yandex #Datenschutz #DSGVO

Covert Web-to-App Tracking via Localhost on Android

Mike Kuketz 🛡Jun 3

Beispiel: Beim Besuch einer Website mit Meta Pixel sendet dein Browser den Cookie _fbp=fb.1.1717351059.Abc123Xyz via WebRTC an die Facebook-App auf dem Gerät. Diese verknüpft ihn mit deinem Login (z. B. User-ID 1000123456789) und sendet die Daten an Meta-Server.

➡️ Ergebnis: Webseitenbesuche lassen sich direkt deiner Facebook-Identität zuordnen – auch im Inkognito-Modus, trotz Cookie-Löschung, ohne Einwilligung.

Boerps ☑️Jun 3

@kuketzblog
Blokada 5 und scharf einstellen.
(Wenn man ohne Meta nicht auskommt.)

@kuketzblog Es ist übrigens ein seit mindestens 10 Jahren bekanntes Problem, dass WebRTC die Secure Origin Policy verletzt und derartige Exfiltration ermöglicht.

Hier mein technische Geschreibsel und wie es potenziell geflickt werden könnte: https://digitalcourage.social/@f09fa681/114620530564413878

Lenny (@f09fa681@digitalcourage.social)

Staggering how far #Meta will go to de-anonymise users. https://arstechnica.com/security/2025/06/meta-and-yandex-are-de-anonymizing-android-users-web-browsing-identifiers/ I was actually surprised it took so long because this is not a new loophole. We discussed this issue almost 10 years ago in a different context: #WebRTC allows to circumvent the secure origin policy. https://github.com/w3c/webappsec-csp/issues/92 I made a PoC back then https://lgrahl.de/examples/dc/webrtc-circumvent-secure-origin.html which still works to this day. It is also hard to prevent because the PoC doesn't do anything that is forbidden. It leverages a currently essential part of the STUN protocol. Don't get me wrong, I'm all in for making an effort to remove all user-controllable input, but now we might see shortcuts being taken to get things fixed quickly, potentially destroying a bunch of nice and niche use cases along the way. #privacy

digitalcourage.social

@kuketzblog Jupp. Und wennste gar kein Konto bei Meta hast, was dann?

@facebita
Das würde ich auch gerne wissen, habe nichts bei Meta.

@Klotzkie @facebita @kuketzblog eure freunde haben WhatsApp und damit ihre Kontakte freigegeben und damit seid ihr dabei 😉

Duncan Idaho Jun 3

@SilentReader
Soweit ich das verstehe benutzt dieses Tracking die Kommunikation des Browsers zu Facebook (oder evtl anderer Meta-Apps). Es ist klar, dass Meta die Kontakte der Meta-Nutzer kennt auch wenn diese nicht bei Meta sind. Aber wenn diese Kontakte keine Meta-App installiert haben, dann kann der Browser auch nicht mit der App reden und nicht tracken - oder übersehen ich was?

@Klotzkie @facebita @kuketzblog

Taburiente Jun 3

@__duncanidaho @SilentReader @Klotzkie @facebita @kuketzblog Die Fb-App ist ja oft als Bloatware installiert und kann maximal deaktiviert werden. Oder hat sich das inzwischen geändert?

Duncan Idaho Jun 3

@sirius
Bei meinem Samsung S24 ist sie nicht drauf (war sie auch nicht). Kann mich erinnern, dass sie auf älteren Geräten installiert war.

Aber aus meiner Sicht bring das nichts fürs Tracken mit dem beschriebenen Mechanismus, wenn man nicht in FB eingeloggt ist. Wie soll FB denn sonst die Zuordnung zu einem bestimmten Meta-Nutzer machen?
Aber wenn man die App nicht nutzt, sollte man sie wenigstens deaktivieren - dann sollte sie nix senden

@SilentReader @Klotzkie @facebita @kuketzblog

tessarakt Jun 4

@__duncanidaho @sirius @SilentReader @Klotzkie @facebita @kuketzblog Muss ja kein "bestimmter" Nutzer sein - dass es der gleiche ist, ist ja auch eine Info.

@tessarakt @__duncanidaho Das mag sein. Wenn es kein "bestimmter" Nutzer ist, handelt es sich nicht um personenbezogene Daten. pbD liegen nur vor, wenn die darin enthaltenen Informationen sich auf eine identifizierte oder identifizierbare Person beziehen. Der "Geräteabdruck" z.B. ist kein pbD, solange der Verarbeiter des Geräteabdrucks nicht weiß, wer das Gerät benutzt - auch wenn er weiß, dass Gerät A und Gerät B von der selben Person genutzt werden. @sirius @SilentReader @Klotzkie @kuketzblog

tessarakt Jun 4

@facebita @__duncanidaho @sirius @SilentReader @Klotzkie @kuketzblog Fällt aber trotzdem unter die ePrivacy-Richtlinie, oder?

@tessarakt Nicht unbedingt. Es kommt u.a. darauf an, ob dazu Daten auf dem Endgerät des Nutzer gespeichert oder ausgelesen werden. Fingerprinting kann man auch serverseitig betreiben. @__duncanidaho @sirius @SilentReader @Klotzkie @kuketzblog

Hans_Rutar Jun 4

@__duncanidaho @SilentReader

Duncan, Du schreibst: „ dass Meta die Kontakte der Meta-Nutzer kennt auch wenn diese nicht bei Meta sind.“
nun meine Frage dazu - ist das auch so, wenn ich die Kontakte nicht freigebe für FB oder WhatsApp?
(((klar dass kaum jemand diese Option nutzt)))

@Klotzkie @facebita @kuketzblog

Duncan Idaho Jun 4

Ich würde _erwarten_, dass Meta sie nicht kennt, da die App sie nicht lesen kann. Zumindest nicht die Zuordnung zu diesem Meta-Nutzer.
Aber andere Meta-Nutzer können den gleichen Kontakt haben und diesen doch an Meta senden.
Damit wäre er wieder bekannt, nur der soziale Graph dieses Kontakts sähe etwas anders aus.

Aber das sind alles nur meine Erwartungen. Gibt bestimmt andere, die sich besser damit auskennen.

@SilentReader @Klotzkie @facebita @kuketzblog

@__duncanidaho @Erutario @SilentReader @facebita @kuketzblog
Hmmm, auf meinem Handy ist nichts von Meta installiert war auch nicht.

Radieschen Jun 4

@facebita wenn du wirklich keines hast, dann bist du davon nicht betroffen.

Ich habe eins, nutze das aber so gut wie gar nicht mehr und habe schon jahrelang keine Facebook oder Instagram App mehr installiert.

Was ich im Moment noch installiert habe, ist WhatsApp in einem Arbeitsprofil via Shelter. Über WhatsApp ist bisher nichts bekannt, würde mich aber nicht wundern, wenn das auch dort genutzt wird. Wenn ich es richtig einschätze, hilft ein Arbeitsprofil in dem Fall nicht, weil es vermutlich trotz Nutzerprofil nur einen localhost pro Gerät gibt.

Egal ob man sich theoretisch irgendwie davor schützen kann oder nicht, das Problem ist ja, dass die meisten das eben nicht machen.

Ich bin gespannt auf Trumps Reaktion, falls es von der EU ein Bußgeld dafür gibt.

Viele Android Apps verwenden
Einloggoptionen über externe Accounts wie Google oder Facebook. Dabei verwenden sie ggf. Api's/Tools die von Google, Meta und Co. bereitgestellt werden.

Wer hat nicht irgendwelche kostenlose Games auf seinem Smartphone, die InApp Käufe ermöglichen?

Ryek Darkener Jun 3

Wird wahrscheinlich die meisten Nutzenden nicht interessieren. Die steigen schon aus, wenn man denen "Cookie" erklären will. Oder das das, ws sie tun, weder gut für sie noch für "alle ihre Freunde dort" ist.
Man wird dann schlicht ignoriert.
Dennoch aus meiner Sicht kein Hindernis, bei jeder passenden und unpassenden Gelegenheit darauf hinzuweisen. Dann erkennt man schnell, ob man wirkliche Freunde hat. Oder nicht.

Mark Kahl 🚲🐻🦁🇺🇦🇮🇱Jun 3

@_RyekDarkener_ @kuketzblog Also mich interessiert es auch nicht, ich habe das ganze Gelump bei der Ersteinrichtung runtergeschmissen, oder wenigstens deaktiviert.

@_RyekDarkener_ @kuketzblog Bitte kein Victim-Blaming.
Nicht für jeden ist IT-Sicherheit ein Interessensgebiet und in der Schule wird sowas auch nicht gelernt. Natürlich darf man eine gewisse Grundkompetenz erwarten, aber was Meta hier macht, ist grundlegende Schutzmaßnahmen auszuhebeln.
Damit muss man als Anwender nicht rechnen.

Meiner unprofessionellen Meinung nach sollte geklärt werden, ob das den Straftatbestand des Ausspähens von Daten erfüllt.

Ryek Darkener Jun 4

@dideldum @kuketzblog

Sicher. Aber das bestimmte Anbieter schon seit Jahren – vorsichtig gesprochen – keine besonders gute Wahl sind, wenn es um Datenschutz geht, ist jedem bekannt, der nicht unter einem Stein lebt.
Die Entscheidung, das zu ignorieren, ist die eigene.
Bequemlichkeit schlägt Sicherheit.

@_RyekDarkener_ @kuketzblog Die allgemeine Binsenweisheit war bisher aber, dass Apps voneinander abgeschottet sind. Man darf als Anwender also davon ausgehen, dass Facebook und Instagram keinen Zugriff auf den Browser haben (außer man hat sich auch über diesen eingeloggt).

einfachnurRoland 2d ago

@_RyekDarkener_
Was auch kein Wunder ist, da sämtliche Handy-Plattformen alles in ihrer Macht stehenden tun um die User von ihren Dateien zu trennen.

Die bekommen so vielfältige Zugriffsmöglichkeiten auf ihre Daten, dass sie gar keine Möglichkeit haben zu verstehen, dass diese eigentlich EINE physische Präsenz auf ihrem Gerät haben sollten.

Einfach mal ein PDF zugeschickt bekommen oder ein Backup absprechen wird direkt zum Schulungsworkshop über das ganze Wochenende.
@kuketzblog

@kuketzblog "Facebook-App"? Oder auch "WhatsApp" ?

@flexi @kuketzblog Instagram ist das Paradebeispiel mit immer passender Werbung und Beiträgen.

@flexi @kuketzblog da WhatsApp ohne Facebook-Login funktioniert, sollte die Verknüpfung zum FB-Konto nicht stattfinden. Es könnte aber eine ähnliche Tracking-Methode drin sein, anhand deiner Telefonnummer bist du ja identifizierbar.

@kuketzblog ...und was mache ich jetzt mit der Info? Will das alles nicht. Aber wer setzt sich denn jetzt dafür ein, dass das nicht mehr passiert?

Stehe total blank da und bin mehr als frustriert, dass das Thema Datenschutz zwar immer wieder genannt aber überhaupt nicht durchgesetzt wird.

Ich möchte vom Staat davor geschützt werden. Aber wer übernimmt das? Wer????

Herr Günni Jun 4

@Wupsala
Naja in erster Linie bist du selbst dafür verantwortlich was du nutzt und was nicht. FB und Instaprofile löschen, Apps deinstallieren evtl. Auch gleich What's app löschen und auf Alternativen umsteigen... schwupps geschützt.

secid 🇩🇪Jun 4

@Wupsala @kuketzblog
Da der Staat hier bestenfalls mitmacht (u.A. Vorratsdatenspeicherung) und auf keinen Fall die IT-Industrie behindern will, kann man sich nur selbst schützen:
GrapheneOS, Apps möglichst nur aus F-Droid (wenn unbedingt notwendig noch aus Arosa (anonym)), Werbe- und Tracking-Blocker, VPN, Datenschutz-Browser, -Suche, -Navi usw..
Kein Apple, Meta (Whatsapp, Facebook), Alpha (Google), Microsoft ....
Der @kuketzblog ist da eine Goldgrube für Infos über Selbstschutz.

Duncan Idaho Jun 3

Ich habe eine Meta-App im Secure Folder von Samsung installiert - vorrangig, damit die nicht auf meine Kontakte zugreifen kann.

Nun frage ich mich: Kann der Browser im normalen Betrieb mit der Meta-App im Secure Folder kommunizieren? Oder wird das von Android / Samsung unterbunden?

Duncan Idaho Jun 3

Sehe gerade, dass es auf https://localmess.github.io/ ein Update gibt:

"UPDATE: As of June 3rd 7:45 CEST, Meta/Facebook Pixel script is no longer sending any packets or requests to localhost. The code responsible for sending the _fbp cookie has been almost completely removed."

Aber wir können sicher sein, dass Meta sich was neues einfallen lassen wird...

Covert Web-to-App Tracking via Localhost on Android

@kuketzblog
Dann kann man getrost davon ausgehen, dass auch andere diese Technik einsetzen! Da muss man erstmal drauf kommen, eigentlich brilliant!

Ich bin neugierig, wie Mike dahinter gekommen ist 🤔

Mike Kuketz 🛡Jun 3

Und wieder zeigt sich: Meta ist Datenschutz schlicht egal.
Heimliches Tracking, Schattenprofile, Umgehung von Schutzmechanismen – Hauptsache Daten.
Wem das nicht egal ist, sollte konsequent sein: Keine Meta-Dienste, keine Meta-Apps.

@kuketzblog Sag das Samsung Besitzern. Die haben Facebook vorinstalliert, mitsamt einem zweifelhaftem Dienst. Beide können nicht deinstalliert werden.

JaygoPI :verified:Jun 3

@Kubiac @kuketzblog
Kann dazu die App "Canta" von F-Droid empfehlen. Damit kann man beliebige Apps einfach löschen und deinstallieren.

@Kubiac @kuketzblog

Pixel mit GrapheneOS ohne PS.

Da kann ich Herrn Kuketz voll zustimmen!

Olivetree Jun 3

@Kubiac @kuketzblog

Aber angemeldet ist man dann immer noch nicht, somit kann auch keine Verknüpfung zur Identität hergestellt werden.

Und um sicher zu gehen sollte man ohnehin allen nicht aktiv genutzten Apps den Zugriff auf das netzt entziehen.

#netguard #firewall #datenschutz

https://netguard.me/

https://f-droid.org/packages/eu.faircode.netguard

NetGuard

A simple way to block access to the internet per app

Fuxle 🦊🏳️‍🌈Jun 4

@Kubiac @kuketzblog meines Wissens nach nur über ADB vollständig deinstallierbar, bis das Gerät auf Werkseinstellungen zurückgesetzt wurde. Dann sind die wieder da.

soletan 🇺🇦Jun 3

@kuketzblog Alles schön und gut, wird nur wieder nicht passieren. Die Abhängigkeit von Facebook, Instagram und WhatsApp wird auch dieser Skandal nicht ändern. Ist wie mit Twitter vs. Mastodon. Keiner verlässt das Medium auf dem man meint, mit allen verbunden zu sein und/oder ein hinreichend großes Publikum zu haben, dass man obendrein besonders einfach und in der in vielen Jahren gut antrainierten Weise bespielen kann.

Wilma_Wein Jun 4

@soletan @kuketzblog
Die KI wird es richten.

nichtsicher Jun 4

@soletan @kuketzblog Ja ist leider so. Ich hatte vor 10 Jahren mal WhatsApp deinstalliert. Die Folge war, dass ich keine Kontakte mehr pflegen konnte. Hatte nichts mehr mitbekommen, wer wo was veranstaltet hat. Hatte es ein Jahr durchgezogen. Nicht einer wechselte zu einem anderen Messenger.

soletan 🇺🇦Jun 4

@nichtsicher @kuketzblog Ist verständlich, aber wohl auch immer etwas FOMO-getrieben. Ich hatte noch nie WhatsApp und wenn bspw. mein Sportverein für eine Aktion Teilnehmer nur über WhatsApp organisiert, dann muss man auf meine Hilfe verzichten. Es gibt wohl auch eine „Familien-WhatsApp-Gruppe“, bei der ich außen vor bleibe. Stört mich das? Nö. Die Leute wissen, wie sie mich erreichen können, wenn es wichtig ist, und dass dazu kein Meta-Tool geeignet ist.

nichtsicher Jun 4

@soletan
Wir hatten WhatsApp schon, bevor Meta es kaufte. Das hat sich zu stark etabliert.Ist blöd und ich hätte es auch gerne anders, aber ohne das Ding wird man in meinem Umfeld einsam. Und wenn man dann noch Elternbeirat ist, hat man gar keine Chance mehr. Habs versucht und bin auf breite Ablehnung gestoßen. Die wollen alle keinen zweiten Messenger installieren.

🔐 PwMgmt-InfoMan Jun 4

@kuketzblog
Ich glaube, dass "ist denen egal" nicht greift und dass es anders betrachtet werden muss.

Ich bitte um Korrektur, wenn ich mit folgendem Quatsch verbreiten sollte.

Ist es nicht so, dass US-amerikanische Unternehmen an den Patriot Act gebunden sind und daher der US-Administration gegenüber verpflichtet sind abzuliefern? 🤔

(Macht die Sache natürlich nicht besser)

Schall und Rauch Jun 4

@HenningIdB @kuketzblog Quatsch, sorry.

Sie müssen liefern, ja. Aber der Patriot Act zwingt niemanden, Daten überhaupt erst zu erheben.

Deswegen macht gerade für eine Rechtslage wie in den USA das Prinzip "Zero Knowledge" Sinn. Sofern es denn um den Schutz der Nutzenden geht...

@kuketzblog außer WhatsApp hab ich nichts installiert. Bei WhatsApp ist es schwierig. Zumindest habe ich zwei meiner Gruppen überzeugen können, auf Signal umzusteigen.

Stefan Thöni Jun 4

Solange Kontakte bei FB, Insta oder WhatsApp sind werden sich Menschen genötigt sehen, diese Apps zu nutzen.

Deshalb muss die Regulierung hier gegen Meta durchgreifen. Am besten, indem dieser bösartige Laden in den Bankrott getrieben wird.

Jörg 🇩🇪🇬🇧🇪🇺Jun 4

@kuketzblog Aber all dieses vermeiden hilft ja trotzdem nicht gegen Schattenprofile, oder?

@kuketzblog An dieser Stelle ist meiner Meinung nach der Bereich der Datenschutzgesetzgebung verlassen und wir bewegen uns schon im Strafrecht.

Karsten DC7OS Jun 5

Nicht nur Meta, auch Alphabet, Apple, Microsoft, Adobe, usw, davon gehört eigentlich nichts auf's Handy. Leider kriegt man das nicht so wirklich und konsequent hin.

Guten Abend @kuketzblog. Das erinnert mich an die Problematik #Vanadium Browser und t0 dot gstatic dot com, welche ich im Forum veröffentlicht hatte.

Diese Kontaktversuche finden auch dann statt, wenn ich diesen #Browser auf meinem Pixel 7a mit #GrapheneOS nur für #Leta, deinen Blog und dein Forum nutze. Exakt 16 Versuche - nicht mehr und nicht weniger. Das ist schon deshalb merkwürdig, weil ich scheinbar der einzige mit dieser Erfahrung bin.

Dank #RethinkDNS verliere ich das Vertrauen in diesen Browser nicht vollends.

hufnagel 🏳️‍🌈 🐧🔆Jun 3

@kuketzblog
Kann man bei @Samsung Schadensersatz fordern? Die verhindern ja die Deinstallation, so dass die Apps potentiell immer auf dem Gerät rumwabern. Im Gegensatz zu #meta bin ich bei denen Kunde.
Vielleicht sollte man das mal gerichtlich klären lassen. Unterlassungserklärung an den CEO, und dann ab die Post. Könnte für Abmahnanwälte ein gefundenes Fressen sein. Mit 2% vom Jahresumsatz können wir schon ein paar Bäder und Schulen renovieren.

Wenn jemand eine Klage anstrebt, gerne melden.
Die Hardware ist echt super, aber den ganzen Mist den sie auf den Geräten einnisten einfach nur eine Seuche.

#itsecurity #anwalt #juristen #dsgvo #verbraucherschutz @verbraucherzentrale_nrw
@piratenpartei

Verbraucherzentrale NRW Jun 4

@Hufnagel @kuketzblog @Samsung @piratenpartei Schwierig pauschal zu beantworten. Aber ein weiteres anschauliches Beispiel, wie die kommerziellen Interessen über die Nutzerrechte gestellt werden.

@kuketzblog weiß ja, dass Mike hier nicht mehr interagiert... aber ist das bei youtube auch so?

@kuketzblog Hallo @noybeu Könnt ihr da mal nachbohren?

@kuketzblog Ich denke hier ist Google / Android am Zug und muss eine neue, kritische Systemberechtigung für Apps einführen, die es nicht erlaubt ohne explizite Freigabe durch den Anwender lokale Ports zu öffnen.