2025-06-05

Meta ist dabei erwischt worden, wie sie Trackingdaten von einem Webbrowser in die auf demselben Android-Gerät installierte Facebook/Instagram-App ausgeleitet haben.

Wie funktioniert das? Der Browser hat doch eine Sandbox, die Android-Apps sind doch auch isoliert? Stellt sich raus, dass die Facebook-App auf bestimmten Ports des lokalen Netzwerkinterfaces lauscht, und der Webbrowser dann Daten dorthin schickt. Warum schickt der Browser Daten dorthin? Weil auf Millionen von Websites Facebook-Trackingscripts enthalten sind, welche dann zum lokalen Interface verbinden (da gibts gleich mehrere Methoden, war uns auch nicht bewusst!).

Im Endeffekt verknüpft Facebook dann die einigermassen anonymen Browser-Surfdaten mit dem persönlichen Facebook-Account. Falls jemand bis hierhin noch Restvertrauen in Meta hatte wäre es wohl jetzt eine gute Idee, die Android-Apps von Facebook bzw. Instagram zu löschen. Gleichzeitig besteht wohl auch bei der Webbrowser-Security Handlungsbedarf.