Meta nutzte Localhost Tracking um Android-Nutzer trotz VPN und Inkognito-Modus zu überwachen. Der komplette Skandal, Technik und Schutzmaßnahmen erklärt.
Der Anruf kommt aus deinem Haus?!
Stell dir mal vor, du nutzt den Inkognito-Modus, nutzt ein VPN, löscht regelmäßig deine Cookies und fühlst dich damit sicher. Du glaubst deine Spuren im Internet bestmöglich zu verwischen. Du schaust in einem Online-Shop vorbei, liest die Nachrichten und suchst Informationen zu diesem etwas sensiblen Gesundheitsthema. Hört sich alles Privat an? Scheinbar nicht.
Was wenn nun doch ein Konzern wie Meta (früher mal Facebook) einen Weg gefunden hat, all diesen Schutz mit Leichtigkeit zu umgehen und dir trotzdem auf Schritt und Tritt folgt, direkt über dein Android-Gerät? Genau das ist passiert.
Localhost Tracking ist eine raffinierte Spionage-Methode: Webseiten-Skripte wie das Meta Pixel kommunizieren heimlich mit Apps auf deinem Smartphone. Stell dir vor, jemand zapft das interne Haustelefon an, um alle Gespräche zwischen den Zimmern zu belauschen. Nur eben digital.
Für dich als Endverbraucher ist der Take-Away: Eine harmlose Funktion deines Betriebssystems wurde kreativ ausgenutzt, um gängige Sicherheitsvorkehrungen auszuhebeln. Der datenschutzaffine Leser werden gerade deine schlimmsten Befürchtungen wahr. Und als technisch unbewanderter Laie lernst du heute, wie eng Informationen verwoben sind und warum es so wichtig ist, solche Praktiken zu verstehen.
Zunächst das Einordnen von Fakten. Die Spionage reicht weiter zurück, als zu erwarten ist:
2017: Yandex – Der unsägliche Pionier: Schon 2017 hat der russische Suchmaschinenriese Yandex die Localhost-Tracking-Technik genutzt. Jahrelang sammelte Yandex unbemerkt Daten über Apps wie Yandex Maps, Browser und Navi. Die wichtige Lektion: Solche Methoden können lange unentdeckt bleiben, besonders wenn sie von Unternehmen mit geringer Marktpräsenz in der westlichen Welt stammen.
2024: Meta – Eskalation, aber mit System: Meta begann September 2024 mit der Implementierung. Hier ist jedoch eine technische Evolution zu erkennen, da Meta zu Beginn einfach HTTP-Anfragen genutzt hat. Später wurde dann zu WebSockets gewechselt. Stell dir HTTP-Anfragen wie einen simplen Brief vor und WebSockets eher wie ein Telefongespräch. Nach dem WebSockets hat Meta hochkomplexe WebRTC-Techniken mit sogenanntem „SDP Munging“ entwickelt. Stell es dir als geheime Botschaften in offiziellen Dokumenten vor.
Die Entdeckung: Ein internationales Team von Forschern des IMDEA Networks (Spanien), Radboud University (Niederlande) und KU Leuven (Belgien) deckten dieses Vorgehen auf. Durch akribisches Aufarbeiten haben sie festgestellt, dass Millionen von Nutzern stetig gegen ihren Willen überwacht werden. Hier mehr dazu!
Plötzlich ist Schluss: Am 3. Juni 2025 stoppt Meta die Technik. Zufällig direkt, nachdem der Forschungsbericht veröffentlicht wurde. Ich bin kein Jurist, aber das wirkt, wie ein Unternehmen, das wusste, was es tat.
Es wird jetzt etwas technisch, aber ich baue es Schritt für Schritt mit Vergleichen auf.
Jede App auf deinem Android-Smartphone lebt in einer streng abgeschotteten Wohnung innerhalb eines Wohnblocks. Jede dieser Wohnungen hat eine eigene Tür, eigene Fenster und darf weder durch die Fenster der anderen Wohnungen schauen, noch darf sie ihre Post lesen.
Dieses Prinzip wird die Android Sandbox genannt. Sie ist die Sicherheitsvorkehrung, die verhindert, dass Apps sich gegenseitig ausspionieren oder ungewollt beeinflussen können. Android weist damit jeder App eine Benutzer-ID zu und bringt sie in ihre eigene Isolierte Wohnung, wo sie dann ausgeführt werden.
Im Android-Plattenbau existiert eine Art internes Kommunikationssystem. Stell es dir als Haustelefon vor. Der Localhost ist unter 127.0.0.1 zu erreichen. Ursprünglich ist diese Durchwahl für Entwickler gedacht, um ihre eigenen Applikationen zu testen. Quasi ein Anruf an sich selbst, ohne dass der Anruf das Gebäude verlässt.
Wichtig: Normalerweise verlässt Localhost dein Gerät nicht. Es ist ein vollständig interner Kreislauf, der eigentlich für harmlose Zwecke wie lokale Dienste und Software-Testing gedacht ist.
Das Meta Pixel ist ein sehr kleiner Beobachter, den du als Betreiber einer Webseite auf dieser platzieren könntest. Das ist auch absolut nicht auffällig. Das Meta Pixel notiert akribisch, welche Handlungen du auf einer Webseite tätigst, z. B. welchen Artikel du liest, welche Produkte du in den Warenkorb legst etc.
Diese Information wird dann typischerweise als Cookie gespeichert. Im Falle von Meta im _fbp-Cookie. Dies dient hauptsächlich zu Wiedererkennung bei Werbezwecken auf verschiedenen Webseiten.
Die Facebook-/Instagram-App geht im Hintergrund des Geräts in Position, um zu lauschen. Technisch wird ein kleiner Server gestartet, der auf bestimmten Durchwahlnummern (Ports) des internen Telefons lauscht. Dabei hat Metaspezifische TCP-Ports (wie 12387 oder 12388) und UDP-Ports im Bereich 12580-12585. Damals bei Yandex waren es Ports wie 29009 oder 30102-30103. Dabei musste das Nutzerkonto eingeloggt sein, um die Identitätsverknüpfung zu ermöglichen.
Mini-Exkurs: Was sind TCP- und UDP-Ports?
Beides sind virtuelle Endpunkte für Netzwerkkommunikation, die es ermöglichen verschiedene Anwendungen und Dienste auf einem Gerät über eine einzige IP-Adresse zu unterscheiden. Bei TCP-Ports ist dies eine zuverlässige, verbindungsorientierte Datenübertragung mit Fehlerkorrektur und bei UDP-Ports handelt es sich um eine schnellere, aber unzuverlässigere verbindungslose Kommunikation ohne Garantie für Datenintegrität.
TCP und UDP sind wie verschiedene Briefkästen an derselben Adresse. Jeder hat seinen Zweck.
Wenn du eine Webseite besuchst, auf der das Meta Pixel eingebunden ist, wurde das Tracking-Skript bereits aktiviert, bevor du eine Cookie-Einwilligung erteilt hattest. Das Skript hat daraufhin nicht nur versucht Daten an Meta-Server zu senden, sondern hat zusätzlich auch noch alle „Durchwahlnummern“ auf dem Localhost angerufen. Also alles direkt auf deinem Gerät. Bei Meta ist dies damals über eine relativ smarte WebRTC-Verbindung und einem Trick namens „SDP Munging“ passiert. Yandex hat hier auf einfache HTTP-Aufrufe gesetzt.
Mini-Exkurs: Was ist SDP Munging?
SDP (Session Description Protocol) ist ein Standard zur Beschreibung von Multimedia-Verbindungen. Typischerweise Audio- oder Video-Calls.
„Munging“ wird als Begriff für gezielte Manipulation oder Veränderung dieser Verbindungsdaten genutzt.
Beim SDP Munging werden ursprünglich harmlose Verbindungsparameter mit zusätzlichen Informationen „angereichert“. Im Fall von Meta mit Tracking-Daten. Die veränderten/manipulierten Daten werden über scheinbar normale WebRTC-Verbindungen übertragen und das Tracking wird praktisch unsichtbar.
Da die App deine Facebook oder Instagram „Identität“ kannte, schließlich warst du im Hintergrund eingeloggt, und Zugriff auf eindeutige Geräte-Identifikatoren wie die Android Advertising ID hatte, konnten Browser-Cookie-Daten direkt mit deinem persönlichen Profil verknüpft werden. Meta hat diese Daten dann via GraphQL-Aufrufe an Facebook-Server verschickt und schon war dein pseudonymes Web-Cookie deanonymisiert.
Ergebnis: Deine vermeintlich anonyme Browsing-Aktivität wurde sofort persönlich und deiner realen Identität zuordbar.
Das frustrierende ist, dass herkömmliche Schutzwerkzeuge zum Selbstschutz in diesem Szenario versagt haben.
VPN: Ein VPN verschleiert deine externe IP-Adresse, aber da die Kommunikation intern auf deinem Gerät stattgefunden hat, haben deine Daten das Hochhaus nicht verlassen. Der VPN konnte nichts abfangen.
Inkognito-Modus: Der beliebte 2-Uhr-nachts Gefährte verhindert lokale Speicherung von Daten. Das Meta Pixel konnte aber trotzdem live während deiner Sitzung Daten sammeln und die Localhost-Verbindung aufbauen.
Cookie-Löschung: Auch wenn du das _fbp-Cookie gelöscht hast, konnte es bei deinem nächsten Besuch auf der Webseite erneut eingesetzt werden. Da dieses wieder über den Localhost an die App gesendet wurde und deine persistente Identität bereits kannte. So konnte Meta dir einfach eine neue Cookie-ID zuordnen und das Profiling fortsetzten.
Eher für den technisch interessierten Leser: Meta hat diese Tracking-Methoden systematisch weiterentwickelt. Das deutet für mich auf einen iterativen Prozess hin.
Die HTTP-Phase (September 2024): Zu Beginn hat Meta einfach HTTP-Anfragen genutzt. Quasi das versenden eines normalen Briefes. Diese Methode ist funktional, aber auch sehr leicht zu entdecken. Zudem wäre diese Methode unsicher gegenüber anderen Apps die zufällig am gleichen Port lauschen.
Die WebSocket-Phase: WebSocket bieten eine dauerhafte, bidirektionale Verbindung. Ein immer verfügbares Telefongespräch. Normalerweise genutzt für kontinuierlichen Datenaustausch.
Phase 1 (September 2024): Es werden simple HTTP-Anfragen als grundlegendes Tracking verwendet.
Phase 2 (November 2024): Es wird zu Websocket-Verbindungen übergegangen, damit die Datenübertragung erweitert werden kann.
Phase 3 (Mai 2025) WebRTC mit SDP Munging: Eine eigentlich ganz coole Methodik. Das _fbp-Cookie wird in WebRTC-Verbindungsdaten eingebettet und als STUN-Nachricht and die Localhost-Ports 12580-12585 übertragen.
Mini-Exkurs: Was sind STUN-Nachrichten?
STUN (Session Traversal Utilities for NAT) ist ein Netzwerkprotokoll, das hilft Firewalls und Router zu umgehen. Es stellt direkte Verbindungen zwischen Geräten her. Dies wird normalerweise bei Video- oder Audio-Calls verwendet, um die IP-Adresse eines Gerätes im Internet herauszufinden. STUN-Nachrichten sind technisch notwendig und absolut alltäglich, daher fallen sie auch nicht als verdächtig auf.
Für mich persönlich wirkt dies wie die systematische Weiterentwicklung von einer einfachen Methode bis hin zu einer schwer erkennbaren Tracking-Technik.
Neben den offensichtlichen Datenschutzproblemen birgt die Localhost-Brücke erhebliche Sicherheitsrisiken.
Das Problem der Lauscher: Da insbesondere bei YANDEX und bei den anfänglichen Meta Tracking-Methoden, unverschlüsselte HTTP-Ports belauscht wurden, konnte theoretisch jede App auf diesem Ports mithören. Die Forscher des IMDEA Networks (besonders Nipuna Weerasekara) haben dies auch mit einer Proof-of-Concept-App bewiesen, indem sie die entsprechenden Ports ebenfalls belauscht haben. Hierbei konnten sie problemlos die URLs des Nutzers mitlesen.
Built-in Schutzmaßnahmen versagen: Das Tracking hat sogar im Inkognito-Modus von Chrome, Firefox und Edge funktioniert, weil lokale Anfragen dort auch durchgeführt werden. Das zeigt nur wie tief die Methodik in die Grundfunktionen des Systems eingreifen.
Flughöhe erhöhen: Immerhin haben die Forscher keine Hinweise darauf gefunden, dass andere Apps außer Meta und YANDEX die Ports bislang genutzt haben. Dennoch besteht hier eine generelle Schwachstelle. Uneingeschränkter Localhost-Zugriff bietet Riesenpotential für Cross-App-Datenlecks und anderen Missbrauch.
Welche Daten waren wirklich betroffen? Schon einiges.
Die Kern-Übertragung: Im Zentrum stand das _fbp-Cookie von Meta. Dies hat den eindeutigen Identifier geliefert. Eigentlich verfolgt es dich pseudonymisiert über verschiedene Webseiten hinweg. YANDEX hat hingegen verschlüsselte Device-IDs und Advertising-IDs übermittelt.
Das Ausmaß: Laut Klageschriften und Forschungsberichten der IMDEA könnten wesentlich mehr Daten erfasst worden sein. Die Forscher haben festgestellt, dass in rund 75-80% der Fälle, in denen Cookie-Banner existierten, die Localhost-Verbindung bereits aufgebaut wurde, bevor der Nutzer seine Einwilligung erteilt hat. Von etwa 13.000 untersuchten US-Webseiten mit dem Meta Pixel versuchten die allermeisten sofort die ID-Brücke zu erstellen. In Europa sah dies beinahe identisch aus.
Die Datenfülle: Untersuchungen des Vorfalls sprechen von Erfassung konkreter Artikel, Suchanfragen, Warenkorb-Inhalten, getätigter Käufe, Registrierungen auf Webseiten und Aufzeichnungen von Verhaltensmustern über mehrere Webseiten hinweg. Potenziell könnte Meta gewusst haben, dass du einen Gesundheitsartikel gelesen hast, danach kurz auf Instagram gestöbert hast und dann auf einer anderen Seite einen Kauf getätigt hast. Das wäre ein vollständiges Bewegungs-Profil deiner digitalen Aktivität.
Das Perfide: Mit dieser Methode wurden bewusst Cross-App-Tracking-Einstellungen außer Kraft gesetzt. Viele Betriebssysteme bieten dir die Möglichkeit Verfolgung über Apps hinweg zu widersprechen. Die Localhost-Methode ignoriert dies vollständig und absichtlich. Der Zeitungskurier steckt dir trotz des „Keine Werbung“-Schildes weiter fleißig Prospekte in den Briefkasten.
Das Schlimmste - Identitätsverknüpfung: Das eigentliche Problem liegt hier in der Verschmelzung deiner Browser-Pseudonymität mit deiner App-Identität. Im Browser bist du nur ein Cookie. Durch die Localhost-Brücke wurde diese vermeintliche Anonymität ausgehoben und direkt mit deinem Facebook-oder Instagram-Profil verknüpft.
Die Dimension der Rechtverstöße ist knackig. Meta hat gleich mehrere Rechtsnormen ignoriert.
Der Richtigkeit halber: Ich bin halt kein Anwalt, die Gerichte/Behörden werden da schon tun, was der rechtliche Rahmen hergibt.
Transparenz-Verletzung (Art. 5): Weder Nutzer noch Webseitenbetreiber wurden über diese spezifische Form der Datenverknüpfung informiert.
Fehlende Rechtsgrundlage (Art. 6): Es fehlt eine informierte, freiwillige Einwilligung für diese konkrete Art der Browser-App-Datenverknüpfung.
Privacy by Design-Verstoß (Art. 25): Die Technikwurde nicht unter Berücksichtigung des Datenschutzes entwickelt, sondern diente explizit der Umgehung von Schutzmechanismen.
Besonders brisant: Artikel 5 Absatz 2 DMA verbietet es Gatekeepern wie Meta explizit, Daten aus verschiedenen Diensten ohne DSGVO-konforme Einwilligung zu kombinieren. Genau das ist hier passiert: Browser-Daten (Drittdienst-Kontext) wurden mit Facebook/Instagram-Daten (Kerndienst-Kontext) verknüpft. Hier mehr zu dem DMA!
Um nochmal mit dem Finger zu zeigen: Welche Apps haben auf den Android-Geräten potenziell als Lauscher fungiert?
Meta-Apps: Facebook und Instagram waren die Hauptcharaktere. Diese beiden Apps öffneten beim Start lokale Listening-Ports und warteten im Hintergrund auf eingehende Daten vom Browser. Selbst wenn die App nur minimiert lief.
Yandex-Apps: Hier war die Liste länger. Betroffen waren Yandex Browser, Yandex Maps, Yandex Navigator, Yandex Search, Yandex Metro (Wien) und Yandex Go (Taxi/Food-Service). Das zeigt, wie systematisch Yandex diesen Ansatz in seine gesamte App-Familie integriert hatte.
Warum iPhones verschont blieben: Apple's iOS war nachaktuellem Kenntnisstand nicht betroffen. Die Forscher vermuten, dass iOS-Apps im Hintergrund restriktiver gehandhabt werden und Apple seit iOS 14 explizite Nutzerfreigaben für lokalen Netzwerkzugriff verlangt. Das ist ein wichtiger Unterschied in der Systemarchitektur.
Wichtig: Technisch ist meines Wissens nach die Localhost-Kommunikation möglich, sie wurde aber nicht ausgenutzt.
Zum Vergleich: Meta hat bereits Strafen von 1,2 Milliarden Euro (2023), 390 Millionen Euro (2023) und 405 Millionen Euro (2021) erhalten. Der Localhost-Skandal könnte diese Summen weit übertreffen.
Das dritte newtonsche Gesetz scheint auch hier zu gelten und die Reaktion ist positiv zu bewerten.
Google Chrome: Mit Version 137 (26. Mai 2025) blockiert Chrome nun die UDP-Ports 12580-12585 und verhindert SDP Munging. Googles "Local Network Access"-Vorschlag (ab Chrome 138) würde künftig explizite Nutzererlaubnis für jeden Localhost-Zugriff erfordern.
Mozilla Firefox: Ab Version 139 (Juni/Juli 2025) sind ebenfalls Sperren für die betroffenen Ports integriert.
Brave Browser: War bereits vollständig geschützt, da Brave seit 2022 Localhost-Zugriffe standardmäßig blockiert.
Apple Safari/iOS: iPhones blieben verschont, da Apple seit iOS 14 explizite Nutzerfreigaben für lokalen Netzwerkzugriff verlangt.
1. Browser und Apps konsequent aktualisieren: Stelle sicher, dass du die neueste Version deines mobilen Browsers installiert hast (Chrome ≥ v137, Firefox ≥ v139), da diese die bekannten Lücken schließen. Aktualisiere auch Facebook/Instagram-Apps und Yandex-Apps, falls du diese nutzt. Die Anbieter müssen in neuen Versionen die lokalen Listener entfernen.
2. Privacy-fokussierte Browser bevorzugen: Erwäge den Umstieg auf Browser wie Brave oder DuckDuckGo, die von Haus aus aggressiver gegen solche Tracking-Methoden vorgehen. Brave blockiert Anfragen an Localhost standardmäßig, wodurch die hier beschriebene Lücke gar nicht erst zum Tragen kommt. In Tests der Forscher war Brave vollständig immun, DuckDuckGo bis auf minimale Lücken ebenfalls.
Weil es mir wichtig ist (und es vielleicht ein zukünftiger Artikel wird): Es ist nicht so, dass Brave/DuckDuckGo perfekte Privacy-Lösungen sind. Sie haben ihre eigenen Probleme. Aber sie sind besser als viele der „Mainstream“-Alternativen. Mach dich schlau und triff informierte Entscheidungen.
3. App-Hygiene praktizieren: Der effektivste Schutz ist, gar keine verwundbaren Apps im Hintergrund laufen zu haben. Überlege: Brauchst du Facebook wirklich als App, oder reicht die Web-Version? Jede nicht installierte App kann auch keine Lauscher aufspannen. Bei Yandex-Apps (im westlichen Raum weniger relevant) solltest du besonders kritisch prüfen, ob du sie wirklich benötigst.
Fairerweise ist die mobile Webvariante von Social-Media-Apps beinahe unbenutzbar, da die Anbieter aggressiv auf die Nutzung der App pochen.
4. Hintergrundaktivität gezielt unterbinden: Falls du Meta-Apps benötigst, schränke in Android die Hintergrunddaten und -aktivität ein. In den App-Einstellungen kannst du Berechtigungen wie "im Hintergrund ausführen" entziehen oder per Batteriesparmodus die App zwangsweise anhalten, sobald du sie schließt. Das verhindert permanentes Lauschen im Hintergrund.
5. Netzwerk-Monitoring für Fortgeschrittene: Erfahrene Nutzer können auf gerooteten Geräten oder mittels PC-Tools den Traffic auf Localhost-Interfaces prüfen. Es gibt Android-Firewall-Apps, die Loopback-Verkehr blockieren können, aber ohne Root sind diese eingeschränkt. Mit Tools wie Wireshark im WLAN lässt sich STUN/TURN-Datenverkehr beobachten. Das erfordert allerdings Expertenwissen.
6. Realistische Einschätzung gängiger Schutzmaßnahmen: Sei dir bewusst, dass übliche Datenschutzmaßnahmen wie Inkognito-Modus, VPN oder Cookie-Löschung solche App-übergreifenden Tricks nicht abdecken. Ein VPN verschleiert die externe IP, hätte hier aber nichts gesehen, da die Kommunikation intern blieb. Cookie-Löschung hilft nicht, wenn die Zuordnung in Echtzeit passiert. Verlasse dich also nicht allein auf den "Inkognito"-Modus, wenn gleichzeitig Apps im Hintergrund mitlauschen könnten.
Was: Localhost Tracking umgeht Android Sandbox durch direkte Browser-App-Kommunikation.
Wer: Meta (Facebook/Instagram) seit September 2024, Yandex bereits seit 2017.
Wie: Webseiten-Skripte (Meta Pixel/Yandex Metrica) kommunizieren über Localhost mit nativen Apps.
Problem: Tracking funktioniert trotz VPN, Inkognito-Modus und Cookie-Löschung.
Daten: Browser-Cookie-IDs werden mit echten App-Identitäten verknüpft, potenziell komplette Surf-Historie.
Rechtlich: Verstöße gegen DSGVO, DMA, ePrivacy – bis zu 32 Milliarden Euro Strafe möglich.
Status: Meta hat gestoppt (Juni 2025), Browserbekommen Updates, rechtliche Konsequenzen ausstehend.
Schutz: Brave Browser bereits sicher, Chrome/Firefox arbeiten an Fixes, bewusste Browser- und App-Wahl hilft.
Für Compliance-Profis: Die Bedrohung geht nicht nur von externen Hackern (egal ob staatlich gefördert oder nicht) aus, sondern auch von scheinbar legitimen Großkonzernen. Auch große Konzerne nutzen Systemfunktionen kreativ aus, um sich Vorteile zu verschaffen. Interne Schnittstellen wie Localhost müssen auch neu bewertet werden.
Für alle Nutzer: Absolute Sicherheit gibt es nicht. Ich kann aber durch bewusste Entscheidungen, richtige Werkzeuge und eine gesunde Menge an Paranoia meine Angriffsfläche reduzieren.
Für die Zukunft: Es ist eine absolute Sicherheit, dass wir in Zukunft noch subtilere Tracking-Methoden sehen werden. Durch die Stärkung persönlicher digitaler Selbstbestimmung wie z.B. durch die DSGVO, werden verwerfliche Praktiken wie diese stetig unterschwelliger und schwerer zuerkennen werden. Es wird weiterhin strengere technische Vorgaben für Betriebssystem-und App-Entwickler geben müssen, um dies einzudämmen. Es ist schade für Unternehmen, die solche Praktiken nicht anwenden, da diese auch durch strengere Rechtsprechung belastet werden.
Das Ende vom Lied: Es liegt an Nutzern, Entwicklern, Forschern und Regulierungsbehörden gemeinsam für ein privatsphärefreundlicheres digitales Ökosystem einzustehen. Die Rolle von investigativer Sicherheitsforschung wird es sein müssen, solche Praktiken aufzudecken und gemeinsam mit Nutzern, Vereinen und Journalisten öffentlichen Druck zu erzeugen, damit wir positive Veränderung sehen können.