Metas "Localhost Tracking"-Methode droht Geldstrafe von bis zu 32 Milliarden Euro

 (zeropartydata.es)
8 Punkte von GN⁺ 2025-06-11 | 5 Kommentare | Auf WhatsApp teilen
  • Meta hat eine Tracking-Methode zur Umgehung der Android-Sandbox ("Localhost Tracking") entwickelt, die es ermöglicht, die echte Identität und das Web-Browsing-Verhalten von Nutzern zu verknüpfen – unabhängig von VPN, Inkognito-Modus oder gelöschten Cookies
  • Bei dieser Methode tauschen die Meta-App (im Hintergrund) und das Meta-Pixel-Skript im Browser über lokale Netzwerkports Informationen aus und verknüpfen das _fbp-Cookie eines Nutzers mit seinem Konto, auch ohne Login
  • So werden das Verhalten im Webbrowser und das tatsächliche Facebook-/Instagram-Konto miteinander verbunden, wodurch ohne Zustimmung der Nutzer in großem Umfang personenbezogene Daten zusammengeführt werden
  • Dabei könnten mehrere zentrale europäische Datenschutzgesetze wie GDPR, DSA und DMA gleichzeitig verletzt worden sein; da Sanktionen kumulativ angewendet werden können, droht theoretisch eine Geldstrafe von bis zu 32 Milliarden Euro (etwa 4 %, 6 % und 10 % des Umsatzes)
  • Über mehr als 9 Monate hinweg fand auf real 22 % der weltweit wichtigsten Websites (darunter mehr als 17.000 in den USA) ohne Zustimmung der Nutzer massenhaftes Tracking statt; personenbezogene Daten von Hunderten Millionen Menschen wurden dabei „ohne ausdrückliche Erklärung“ verknüpft und erfasst
  • Wegen wiederholter Verstöße, möglichem Missbrauch von Marktmacht und einer klar erkennbaren technischen Umgehungsabsicht wird sogar über die Möglichkeit einer historisch einmaligen kumulierten Höchststrafe diskutiert
  • Ausgenommen sind nur einige Nutzergruppen wie iOS- und PC-Nutzer oder Personen ohne installierte App

Metas "Localhost Tracking"-Technik

  • Meta umgeht mit einer innovativen, aber umstrittenen Technik namens "Localhost Tracking" den vom Android-Sandbox-System bewusst vorgesehenen Schutz zur Verhinderung der Identifikation von Nutzerressourcen
  • Die Facebook-/Instagram-App öffnet im Hintergrund auf dem Smartphone bestimmte TCP-/UDP-Ports und hält sie im Listening-Zustand (Login erforderlich)
  • Wenn ein Nutzer auf demselben Gerät mit dem Browser eine Website besucht (z. B. Nachrichten oder einen Online-Shop), wird bei installierter Meta Pixel-Integration sofort Cookie- und Aktivitätsinformation gesammelt
    • Schutzmaßnahmen wie VPN, Inkognito-Modus oder das Löschen von Cookies helfen nicht
  • Das Meta-Pixel-Skript im Browser nutzt WebRTC (eigentlich für Video-/Audiokommunikation gedacht) und einen Trick namens SDP Munging, um das _fbp-Cookie direkt an die App zu senden
  • Gleichzeitig werden dieselben Informationen separat auch an Meta-Server gesendet, sodass ein beidseitig verknüpftes Online-/Offline-Tracking möglich wird
  • Die Facebook-/Instagram-App empfängt den _fbp-Wert und sendet ihn zusammen mit der kontospezifischen Kennung erneut an den Meta-GraphQL-Server
    • Dadurch werden die Besuchs-ID des Webbrowsers und das tatsächliche Facebook-/Instagram-Benutzerkonto in einer 1:1-Zuordnung von Webaktivität und realer Identität eng miteinander verknüpft

Warum das Problem so gravierend ist

  • Lokalport-Lauschen und versteckte App-zu-App-Kommunikation, die im Android-Design eigentlich untersagt sind, werden auf Umwegen ausgehebelt
  • Selbst wenn der Nutzer die App nicht öffnet, im Webbrowser nicht eingeloggt ist oder Schutzmaßnahmen wie VPN, Inkognito-Modus oder das Löschen von Cookies nutzt, hilft das nicht
  • Informationen werden ohne klare und ausreichende vorherige Einwilligung zur Einhaltung von Datenschutzvorgaben wie GDPR gesammelt und verknüpft
  • 22 % der weltweiten Top-Websites sind betroffen; über 9 Monate (Meta) bzw. 8 Jahre (Yandex) wurden Milliarden Menschen ohne Zustimmung getrackt
  • Gesammelt und kombiniert werden: kompletter Browserverlauf, Warenkörbe und Kaufhistorie, Formulareingaben auf Websites, zeitabhängige Verhaltensmuster sowie die Verknüpfung mit Klarnamen-Konten
  • Ausnahmen gibt es nur für iOS- und PC-Nutzer, Personen ohne installierte App sowie bei ausschließlicher Nutzung von Brave oder DuckDuckGo

Zentrale Rechtsverstöße

  • GDPR: Für die Verarbeitung personenbezogener Daten zu Werbezwecken ist eine Einwilligung erforderlich; außerdem Verstöße gegen Datenminimierung und Privacy-by-Design-Pflichten (bis zu 4 % des Umsatzes)
  • DSA (Art. 26): Verbot personalisierter Werbung auf Basis sensibler Informationen aus Profilen (Neigungen, politische Ansichten, Gesundheit usw.) (bis zu 10 % des Umsatzes)
  • DMA (Art. 5 Abs. 2): Verbot der Kombination personenbezogener Daten zwischen zentralen Plattformen ohne ausdrückliche Einwilligung (bis zu 10 %, bei Wiederholung 20 %)
    • Für die Kontoverknüpfung wären mindestens drei Einwilligungen erforderlich (GDPR, ePrivacy, DMA), verlangt wurde jedoch nur eine (erzwungene "Pay or OK"-Alternative)
    • Bereits im April 2025 gab es einen Fall mit einer Geldstrafe von 200 Millionen Euro wegen DMA-Verstößen

Ausblick auf Geldbußen und Sanktionen

  • GDPR, DMA und DSA schützen jeweils unterschiedliche Rechtsgüter und haben eigene Sanktionssysteme, daher ist eine kumulative Berechnung von Geldbußen möglich
  • Die theoretisch maximale Geldstrafe liegt bei 32 Milliarden Euro. Angesichts von Metas wiederholten Verstößen, mangelnder Kooperation mit Regulierern, Marktdominanz und Anzeichen vorsätzlicher Umgehung erscheint eine präzedenzsetzende harte Sanktion möglich

Fazit

  • Metas Methode des "Localhost Tracking" ist ein typisches Beispiel dafür, wie technische und rechtliche Standards zum Schutz der Privatsphäre böswillig umgangen werden, mit weltweit sehr großer Reichweite und erheblicher Tragweite.
  • Unter Berücksichtigung möglicher Verstöße gegen mehrere Regelwerke wie GDPR, DSA und DMA sowie Metas Marktmacht und Vorgeschichte wiederholter Verstöße könnte tatsächlich eine kumulierte Geldstrafe in historischer Größenordnung verhängt werden
  • Weltweit richtet sich die Aufmerksamkeit darauf, ob Regulierungsbehörden erstmals kumulierte Geldbußen aus GDPR, DSA und DMA (bis zu 32 Milliarden Euro) verhängen werden

Verwandte Beiträge

5 Kommentare

 
luiseok 2025-06-11

Ich frage mich, wie man die Führungskräfte, die das genehmigt haben, intern dafür zur Verantwortung ziehen will.
 
kimjoin2 2025-06-11

Ich frage mich, ob iOS sicher ist...
 
brainer 2025-06-11

F: Sind auch iOS/andere Plattformen betroffen?
A: Bisher wurde dies nur unter Android bestätigt; technisch gesehen besteht jedoch auch für iOS/Desktop/Smart-TVs usw. ein potenzielles Risiko
 
GN⁺ 2025-06-11
Hacker-News-Kommentare

  • Geteilt wurde eine Link-Sammlung zu bereits diskutierten verwandten Themen rund um Web-to-App-Tracking sowie die Datenschutzprobleme von Meta und Yandex. Erwähnt werden unter anderem folgende Themen: die Datenschutz-Tipps der Washington Post (Chrome nicht mehr nutzen, Meta-Apps und Yandex löschen), dass Meta Android-Nutzer heimlich über Instagram und Facebook verfolgt hat, dass nach Protesten von Forschern die Technik zum mobilen Port-Tracking auf Android eingestellt wurde, sowie Datenabflüsse für Tracking über WebRTC bei Yandex und Meta

  • Erinnerung an den Vorfall von 2014, als die Android-Twitter-App begann, eine Liste aller auf meinem Gerät installierten Apps an Twitter-Server zu senden. Seitdem halte ich bei Diensten, die sich im Browser nutzen lassen, konsequent an der Webversion statt an nativen Apps fest. Facebook oder Instagram nutze ich nicht, daher weiß ich nicht, wie sie heute funktionieren. Damals habe ich auch erlebt, wie Facebook Messenger im Browser absichtlich funktional eingeschränkt wurde. In den vergangenen zehn Jahren haben native Apps unzählige Berechtigungen verlangt, und Nutzer haben oft gedankenlos zugestimmt. Warum sollte Facebook auf meine WLAN- oder Bluetooth-Informationen zugreifen dürfen? Es gibt sogar Fälle, in denen Menschen in Offline-Geschäften per Beacon verfolgt werden https://en.wikipedia.org/wiki/Facebook_Bluetooth_Beacon . Bedauerlich ist nur, dass native Apps deutlich angenehmer und leistungsfähiger sind als Web-Apps

    • Es wird die Erfahrung geteilt, dass Facebook Messenger im Browser absichtlich unkomfortabel gemacht wurde. Messenger Lite wurde ebenfalls genutzt, bis der Dienst schließlich eingestellt wurde. Wegen Veranstaltungen oder Kontakten muss Facebook weiter genutzt werden, aber die Messenger-App wird konsequent nie installiert, sodass man sich notgedrungen mit dem Desktop-Modus behilft. Im Feed erscheint ohnehin fast nur noch „Für dich empfohlen“, sodass er längst nicht mehr so süchtig macht wie früher. Warum man Nutzer damit regelrecht vertreiben will, ist unklar, aber genau so fühlt es sich an

    • In den letzten Jahren wurden Web-Apps selbst übermäßig behindert. Die eine Hälfte der Zeit wird man von „Installiere die App“-Pop-ups genervt, in der anderen Hälfte funktioniert es gar nicht erst. Noch enttäuschender ist, dass die meisten nativen Apps heute faktisch nur WebViews sind und oft nicht einmal eine native UI verwenden. Wenn es am Ende praktisch nur Safari ist, dann lasst mich doch einfach Safari benutzen

    • Damals wirkte es vielleicht übertrieben, aber ich bestand nur auf Browser-Versionen, und bis heute bereue ich diese Entscheidung nicht. Ich bin damit auch viele Ablenkungen wie Benachrichtigungen losgeworden. Wenn Apple oder Google Datenschutz ernst genommen hätten, wäre es vielleicht anders gekommen. Apps, die es nicht in F-Droid gibt, lasse ich einfach aus

    • Dieses App-Tracking ist auch heute noch vollkommen legal. Jede App kann „zu Sicherheitszwecken“ die Liste der aktuell installierten Apps und der zuletzt ausgeführten Apps durchsuchen. Bei Kontakten ist es ähnlich. WhatsApp, das einzige Meta-Produkt, das ich überhaupt nutze und verwalte, prüft in sehr kurzen Abständen die Kontaktinformationen und lädt bei erkannten Änderungen nur die Differenzen auf den Server hoch. Der Kern der aktuellen Kontroverse ist, dass Meta das Nutzer-Matching im Web umgangen hat, ohne Google für „Cookie Matching“ zu bezahlen

  • Für dieses System gibt es Spuren in Form von Code-Commits der Meta-Ingenieure und Ticket-Anfragen der Product Manager. Daher die Forderung, diesen Personen persönliche Verantwortung aufzuerlegen, ähnlich dazu, wie Facebook mit einem bestimmten Prozentsatz des Umsatzes bestraft werden sollte, also etwa in Höhe eines Anteils ihres Gehalts

    • Es wird betont, dass eigentlich die Manager verantwortlich gemacht werden müssten, die ein solches System erlaubt haben

    • Der Grundidee wird zugestimmt, aber es wäre falsch, wenn nur die unteren Angestellten verantwortlich gemacht würden und die Führungsebene verschont bliebe. Verantwortung müsse bis ganz nach oben reichen

    • Diese Geschichte erinnere an ein bekanntes Zitat von C. S. Lewis: „Das schlimmste Unheil wird von geschniegelt gekleideten Männern in sauberen, stillen Büros geplant.“ Meta wird dabei als modernes Beispiel eines solchen Großkonzerns dargestellt

    • Es wird anerkannt, dass das ethisch klar problematisch ist, aber manche Ingenieure bauen gegen Bezahlung eben alles. Wenn sie es nicht tun, macht es jemand anderes, und manchmal wirkt es auch technisch herausfordernd und dadurch interessant. Verantwortlich gemacht werden müssten letztlich Manager oder Geldgeber an der Spitze, also Leute wie Zuck, die Geld und Vorteile daraus ziehen; man müsse dem Geldfluss folgen

    • Es wird die Frage aufgeworfen, ob die EU einem in den USA lebenden US-Ingenieur überhaupt eine Geldstrafe auferlegen kann

  • Bei Meta überrascht ein solches Verhalten kaum. Schon Anfang der 2010er Jahre wurde der HTTPS-Traffic des iOS App Store überwacht, um populäre Apps frühzeitig zu erkennen, was dann zu Entscheidungen wie der Übernahme von WhatsApp oder Instagram beigetragen haben soll. In der aktuellen Lage scheint Zuckerbergs Wette zu sein, dass Meta bis zum nächsten Plattformwechsel, also AR oder VR, durchhält. Wenn Meta die nächste Plattform kontrolliert, müsste das Unternehmen sich womöglich nicht mehr an vernünftige Regeln halten und könnte die Werbemaschine mit ihren Fühlern im Internet noch weiter ausdehnen. Wünschenswert ist das nicht, aber realistisch gesehen scheint es gut möglich, dass sie es schaffen

    • Unternehmen wollen sehr, dass AR/VR zur nächsten Plattform wird, aber abgesehen von einer kleinen Gruppe von Gaming-Fans ist fraglich, ob die breite Öffentlichkeit das wirklich will. Die Skepsis ist groß, dass es am Ende nur so langlebig sein wird wie 3D-Brillen im Kino

    • Bei der früheren iOS-App-Überwachung mussten Nutzer selbst ein per Enterprise-Zertifikat verteiltes VPN installieren; das lief also nicht über den App Store. Nutzer mussten mehrere furchteinflößende iOS-Warnungen wegklicken, um es zu installieren, aber schon mit kleinen Geschenkgutscheinen konnte man trotzdem viele Menschen zur Teilnahme bewegen

    • Dass Meta solche Dinge immer wieder tun konnte, liegt daran, dass angemessene Strafen in der Vergangenheit nicht ausgereicht haben, Wiederholungstäter abzuschrecken

    • Metas VR-Plattform Quest hat kumuliert wohl rund 20 Millionen Geräte verkauft, was für ein Unternehmen, das eine Facebook-artig riesige Nutzerbasis braucht, bei Weitem nicht ausreicht. Selbst ein relativ erfolgreiches Produkt wie die Quest 2 mit 14 Millionen verkauften Geräten ist seit neun Monaten eingestellt. Von explosivem Wachstum scheint das weit entfernt

  • Der Gedanke wird geäußert, dass der Ingenieur, der dieses System implementiert hat, vielleicht sogar einer von uns auf Hacker News sein könnte. Zuck selbst dürfte es kaum programmiert haben

    • Auf Hacker News erhalte man oft Gegenwind, wenn man von Ingenieuren verlangt, über die ethischen Folgen ihrer Arbeit nachzudenken: „Ich will nur coole Technik bauen, was die Firma damit macht, geht mich nichts an.“ Es gibt auch die zynische Haltung: „Ich bin nur ein Code Monkey; wenn der Manager mir sagt, ich soll den Torment Nexus bauen, dann baue ich ihn eben.“

    • Der Witz lautet, dass Meta für so etwas AI braucht, weil AI sich nicht weigert

  • Es werden zwei Probleme gesehen. Erstens kann Android Apps erlauben, ohne gesonderte Berechtigung Ports zu öffnen. Und Apps können ebenfalls ohne separate Berechtigung untereinander kommunizieren. Zweitens erlaubt der Browser offenbar jeder Domain den Zugriff auf Localhost-Dienste. Schon früher gab es Sicherheitsprobleme, weil auf Localhost laufende Entwicklerdienste erreichbar waren. Hier scheint etwas verbessert werden zu müssen

    • Noch genauer aufgeteilt sind die beiden technischen Probleme: Erstens kann eine beliebige App ohne gesonderte Berechtigung auf einem Port lauschen, und zweitens kann eine beliebige App ohne gesonderte Berechtigung auf lokale Ports zugreifen. Aus genau solchen Gründen wurde auf dem Desktop bereits damit experimentiert, den Browser in einen Network Namespace einzusperren. Webseiten sollten nicht beliebig auf meine Localhost-Dienste zugreifen dürfen

    • Es wird eingeräumt, dass diese beiden technischen Punkte real sind, aber selbst dann bleibe die Position, dass Facebook so etwas trotzdem nicht tun darf

    • Damit eine Android-App Ports öffnen kann, braucht sie die Berechtigung android.permission.INTERNET. Diese wird bei der Installation standardmäßig automatisch gewährt; es gibt aber Varianten wie GrapheneOS, in denen sie separat blockiert werden kann. Soweit bekannt, gibt es derzeit keine feinere Steuerung wie „nur interne Kommunikation erlauben“

    • Es gibt auch einen Vorschlag, zu verhindern, dass Websites ohne besondere Zustimmung auf das lokale Netzwerk eines Nutzers zugreifen können https://github.com/explainers-by-googlers/local-network-access

  • Wer die Facebook- oder Instagram-App auf einem Android-Smartphone installiert hat, dort im Konto eingeloggt ist und keine speziellen Einstellungen zum Blockieren von Dingen wie Tracking-Pixeln vorgenommen hat, könnte von diesem Fall betroffen sein. Besonders gravierend scheint, dass damit VPN oder Inkognito-Modus umgangen werden können. Viele Menschen glauben fälschlich, damit vollständige Privatsphäre zu haben, obwohl es in der Praxis oft eher nur so wirkt, als käme man mit einer neuen Sitzung oder von einem anderen Ort

    • Aus Sicht normaler Nutzer ist es nachvollziehbar, VPN und privates Surfen für ausreichend zu halten. Wenn der Browser heimlich mit den Apps auf meinem Telefon kommuniziert und jede meiner Handlungen mit meinem Konto verknüpft, geht das deutlich zu weit

    • Das Tracking könnte sich noch verschärfen, wenn Facebook- oder Instagram-Apps tatsächlich im Hintergrund aktiv bleiben. Manche Nutzer hassen es regelrecht, wenn Apps im Hintergrund weiterlaufen, und beenden sie deshalb nach jeder Nutzung konsequent

  • Das eigentliche Problem liege bei WebRTC. WebRTC sollte standardmäßig deaktiviert sein oder zumindest hinter einem Berechtigungsdialog versteckt werden. Natürlich würde Facebook unter Verweis auf Funktionen wie Chat die Aktivierung von WebRTC verlangen, und am Ende würden ohnehin 99 % der Nutzer zustimmen

  • Es ist unverständlich, warum Meta überhaupt so weit gehen musste. Es gibt bereits Tracking-Techniken wie Fingerprinting, sodass man dieses zusätzliche Risiko scheinbar gar nicht eingehen müsste. Vermutet wird, dass diese Methode entweder als Testdatensatz diente, um zu prüfen, wie gut andere Tracking-Techniken funktionieren, oder als eine von mehreren Methoden bereitgehalten wurde, falls eine Technik auffliegt oder geschlossen wird. Dass man weiterhin so eine offensichtlich auffällige Methode einsetzt, wirkt geradezu töricht

    • Dieses Verhalten wird damit erklärt, dass das Unternehmen mit einer soziopathischen Denkweise operiert. Wenn man sagt „Das geht nicht“, wird das als Herausforderung verstanden, und man versucht es dann nur umso mehr heimlich durchzuziehen

  • Es wird erwähnt, dass die Aussage „Das Meta-Pixel-Skript überträgt das _fbp-Cookie per WebRTC-(STUN)-SDP-Munging an die native Instagram- oder Facebook-App“ ein wirklich völlig absurder Hack ist

    • Es wird infrage gestellt, wie so ein Ansatz überhaupt genehmigt werden konnte