Meta und Yandex haben beide die angeblich sandgeboxten privaten Webbrowser-Identifikatoren von Android-Nutzern deanonymisiert.

Forscher haben eine von Meta und Yandex verwendete Methode entdeckt, um das Web-Browsing von Android-Nutzern auf Millionen von Websites zu deanonymisieren. Die nativen Android-Apps erhalten Browser-Metadaten, Cookies und Befehle von Meta Pixel- und Yandex Metrica-Skripten, die in Tausenden von Websites eingebettet sind. Diese Skripte laden in den mobilen Browsern der Nutzer und verbinden sich heimlich über Localhost-Sockets mit nativen Apps, die auf demselben Gerät laufen. Diese Methode ermöglicht es, mobile Browsing-Sitzungen und Web-Cookies mit Benutzeridentitäten zu verknüpfen und anonymisiert so effektiv die besuchten Websites der Nutzer, die deren Skripte einbetten. Diese Methode zum Teilen von IDs zwischen Web und App umgeht typische Datenschutzmaßnahmen wie das Löschen von Cookies, den Inkognito-Modus und die Berechtigungskontrollen von Android. Der gesamte Ablauf des _fbp-Cookies von Web zu nativ und zum Server beinhaltet das Öffnen der nativen Facebook- oder Instagram-App durch den Nutzer, wodurch ein Hintergrunddienst erstellt wird, der auf eingehenden Datenverkehr auf einem TCP- und einem UDP-Port lauscht. Das Meta Pixel-Skript sendet das _fbp-Cookie über WebRTC an die native Instagram- oder Facebook-App, und die App überträgt das _fbp als GraphQL-Mutation an Facebooks Graph zusammen mit anderen persistenten Benutzerkennungen, wodurch die fbp-ID der Nutzer mit ihrem Facebook- oder Instagram-Konto verknüpft wird. Am selben Tag, an dem die Forscher diesen Bericht veröffentlichten, stellte Meta diese Praxis ein. Dieses aufwendige Schema dient lediglich dazu, Funktionen in Android zu umgehen, die verhindern sollen, dass native Apps Nutzer während der Nutzung ihres Webbrowsers verfolgen. Diese Methode wird als eine Form des Diebstahls angesehen, auch wenn sie keine Gesetze bricht.