,regionOfInterest=(267,198)&hash=6b09ba291ef39bc72e25dff163ab2d9c9d6cff796f82c8b6647f659134332c55#)
,regionOfInterest=(1005,585)&hash=50654f920e8a4ff0d91b61439570ce284204e789fe4594036d25869137c2d1b0#)
,regionOfInterest=(1256,559)&hash=431b8db82485484fd1097905c8f95fcbf7ad5792be9b5e3b0f1be5d8fcbc6b50#)
![waipu.tv Comfort nur 1 Euro pro Monat [mehr als 230 TV-Sender, 200+ in HD]](https://www.macerkopf.de/wp-content/uploads/2025/06/waipu190625.jpg)
![SEO-Relaunch: 7 Punkte, die nicht verhandelbar sein dürfen! [Search Camp 377]](https://blog.bloofusion.de/wp-content/uploads/2025/06/Search-Camp-Canva-377.png)
![Das HR-Power-Pack: SEO, SEA + Social Ads für die Mitarbeitergewinnung [Search Camp 376]](https://blog.bloofusion.de/wp-content/uploads/2025/05/Search-Camp-Canva-376.png)
![SEO-Monatsrückblick Mai 2025: AIOs, AI Mode, llms.txt + mehr [Search Camp 375]](https://blog.bloofusion.de/wp-content/uploads/2025/06/Search-Camp-Canva-375.png)
![Deals: XL-Eismaschine - Dieses starke Gerät hat das Zeug ein wahrer Sommer-Hit zu werden! [Anzeige]](https://images.cgames.de/images/gamestar/4/klarstein-sweet-swirl-eismaschine-teaser_6359887.jpg?#)
:quality(80)/p7i.vogel.de/wcms/f9/41/f9414ce31e8109abe69fe576bf3bfdcb/0125224403v2.jpeg?#)
:quality(80)/p7i.vogel.de/wcms/09/6a/096ad833b4ff28862dfb18e0dc3ea094/0125079793v1.jpeg?#)
:quality(80)/p7i.vogel.de/wcms/f5/6a/f56a8dc563be39d4430039d1a931f114/0124922822v1.jpeg?#)
:quality(80)/p7i.vogel.de/wcms/57/10/5710f3147838b737126b59f13e6fcf62/0125079681v2.jpeg?#)
Web-zu-App-Tracking: Wie Meta & Yandex Android-Nutzer deanonymisieren
TL;DR Meta (Facebook/Instagram) und Yandex missbrauchen seit 2017 bzw. 2024 offene localhost-Ports auf Android, um Browser-Cookies mit Geräte-IDs ihrer Apps zu verknüpfen. Der Trick umgeht Inkognito-Modus, Cookie-Löschen und Werbe-ID-Reset. Milliarden Nutzer und Millionen Webseiten sind (oder waren) betroffen. Erste Schutzmaßnahmen sind bereits in Chrome 137 & Brave integriert. Meta hat den Code am 3. Juni […]
TL;DR
- Meta (Facebook/Instagram) und Yandex missbrauchen seit 2017 bzw. 2024 offene localhost-Ports auf Android, um Browser-Cookies mit Geräte-IDs ihrer Apps zu verknüpfen.
- Der Trick umgeht Inkognito-Modus, Cookie-Löschen und Werbe-ID-Reset.
- Milliarden Nutzer und Millionen Webseiten sind (oder waren) betroffen.
- Erste Schutzmaßnahmen sind bereits in Chrome 137 & Brave integriert. Meta hat den Code am 3. Juni 2025 weitgehend entfernt.
- Bis die »Lücke« geschlossen ist: Tracker blockieren, Browser aktualisieren, generell auf Meta-/Yandex-Apps verzichten bzw. diese deaktivieren, falls eine Deinstallation nicht möglich ist.
Hintergrund
Die Forschergruppe »Local Mess« zeigt, dass Webseiten-Skripte von Meta Pixel und Yandex Metrica über die Loopback-Adresse 127.0.0.1 mit installierten Android-Apps kommunizieren. Flüchtige Web-IDs wie das _fbp-Cookie werden so mit eindeutigen App-Identifikatoren (Android Advertising ID (AAID), Facebook-Konten …) verknüpft – Nutzer lassen sich domainübergreifend eindeutig wiedererkennen.
Meta hat nach Bekanntwerden den Teil des Pixel-Scripts entfernt, der das _fbp-Cookie an localhost schickt. Die Apps lauschen jedoch weiter auf den alten Ports – ein Rückfall ist jederzeit möglich.
So funktioniert der Trick
Meta / Facebook Pixel
- App-Vorbereitung: Facebook- oder Instagram-App (ab Version 515 bzw. 382) läuft einmal, legt Listener auf TCP 12387/12388 und UDP 12580-12585 an und bleibt im Hintergrund aktiv.
- Web-Aufruf: Der Nutzer besucht eine Seite mit Meta Pixel. Das Skript verpackt
_fbpmittels WebRTC in die SDP-Zeileice-ufragund sendet das Paket an 127.0.0.1. - Abholung & Upload: Die App empfängt
_fbp, kombiniert es mit Facebook- oder Instagram-ID und lädt alles per GraphQL zu Meta hoch.
Was passiert also?
- Du öffnest bspw. eine Nachrichtenseite mit Meta Pixel – sagen wir: spiegel.de.
- Das eingebettete JavaScript dort sendet das Cookie
_fbpan 127.0.0.1, also an deine Facebook- oder Instagram-App. - Die App verknüpft dieses Cookie mit deinem echten Facebook-Konto (du bist dort eingeloggt) – und lädt es zu Meta hoch.
Damit weiß Meta, dass du persönlich gerade spiegel.de besucht hast – und welche Inhalte dich dort interessieren, etwa ob du Artikel zu Sport, Politik oder Religion liest. Und das, obwohl du dort nie eingewilligt hast oder gar keinen Facebook-Account auf der Seite verwendet hast.
Hinweis
Seit Mitte Mai 2025 testet Meta einen Wechsel auf TURN-Pakete (UDP 12586-12591). Die Apps lauschen dort bisher nicht – offenbar ein Rollout in Wartestellung.Yandex Metrica
Yandex Apps wie Maps, Navigator oder Browser öffnen schon seit 2017 vier Ports: 29009/30102 (HTTP) sowie 29010/30103 (HTTPS). Der Metrica-JavaScript-Code auf einer Webseite sendet Requests an yandexmetrica.com. Diese Domain wird clientseitig auf 127.0.0.1 aufgelöst. Die App antwortet mit einem Base64-Blob, der Android Advertising ID (AAID) und weitere Geräte-IDs enthält. Anschließend übermittelt der Browser selbst diese Daten an Yandex-Server.
Wer ist betroffen?
Meta Pixel steckt laut BuiltWith auf rund 5,8 Millionen Seiten – eine Stichprobe des HTTP Archive zeigte bei 11890 europäischen Seiten ID-Bridging (Verknüpfung zweier eigentlich getrennter Identifikatoren) noch bevor Nutzer irgendeine Einwilligung geben. Yandex Metrica läuft auf gut 3 Millionen Domains. In der gleichen Messung kommunizierten 1064 EU-Webseiten ohne vorherige Zustimmung mit localhost.
Risiken
- De-Anonymisierung: Verschiedene
_fbp-Cookiesund App-IDs werden zu einem Profil zusammengeführt – Tracking über Domain-Grenzen. - Verlaufs-Leak: Bei Yandex genügt eine fremde App, die die Ports übernimmt, um den Browser-Verlauf via Origin-Header mitzulesen.
- Keine Nutzerkontrolle: Androids Berechtigungssystem greift nicht; Browser zeigen keine Warnung. Inkognito-Tabs, Cookie-Löschungen oder Werbe-ID-Resets laufen ins Leere.
Gegenmaßnahmen
- Browser aktualisieren: Chrome ab Version 137 blockiert missbrauchte Ports und SDP-Munging. Brave verhindert localhost-Traffic schon seit 2022 bzw. erfordert eine Zustimmung des Nutzers. Mozilla arbeitet offenbar an einer Lösung.
- Apps löschen: Wer Facebook/Instagram oder Yandex-Apps nicht zwingend braucht, deinstalliert sie – zumindest Hintergrunddaten und Netzwerkzugriff kappen. Eine Deaktivierung ist ebenfalls möglich, falls eine Deinstallation scheitert.
- Blocklisten nutzen: uBlock Origin, AdGuard, RethinkDNS & Co. können schadhafte Domains filtern.
- WebRTC deaktivieren: In vielen Fällen ist es sinnvoll, WebRTC im Browser komplett abzuschalten. Damit lassen sich bestimmte Tracking-Techniken – wie die von Meta eingesetzte Übertragung von Cookies an Apps über localhost – wirkungsvoll unterbinden.
Fazit
Die Untersuchung »Local Mess« zeigt, wie Meta und Yandex eine eigentlich harmlose Technik auf Android-Geräten missbrauchen: Über die interne Adresse 127.0.0.1 (auch »localhost« genannt) bauen ihre Web-Tracker eine direkte Verbindung zu ihren eigenen Apps auf demselben Gerät auf. So umgehen sie gezielt die Schutzmechanismen von Android, die eigentlich dafür sorgen sollen, dass Apps und Webseiten getrennt voneinander arbeiten.
Auf diese Weise können die Firmen temporäre Browser-Informationen – wie Cookies – mit dauerhaften und eindeutigen App-/Geräte-IDs wie Werbe-IDs oder Nutzerkonten verbinden. Das ermöglicht ein domainübergreifendes Verfolgen des Surfverhaltens, also die Zuordnung von Besuchen auf unterschiedlichen Webseiten zu ein und derselben Person.
Solange Android keine besseren Schutzfunktionen gegen solche lokalen Verbindungen bietet, bleibt Nutzern nur der Selbstschutz: Browser aktuell halten, Tracking-Skripte blockieren und fragwürdige Apps möglichst gar nicht erst installieren.