Meta (Facebook, Instagram) & Yandex nutzen lokale Ports auf Android-Geräten, um Browserdaten mit nativen Apps zu verknüpfen. Dieses „Web-to-App-ID-Sharing“ hebelt Inkognito-Modus, Cookie-Löschen & Berechtigungssysteme aus. Betroffen: Milliarden Nutzer. Meta hat das Verhalten nach Offenlegung gestoppt. Nach meiner Ansicht wäre hier die Höchststrafe fällig: 4 % vom Umsatz!
Beispiel: Beim Besuch einer Website mit Meta Pixel sendet dein Browser den Cookie _fbp=fb.1.1717351059.Abc123Xyz via WebRTC an die Facebook-App auf dem Gerät. Diese verknüpft ihn mit deinem Login (z. B. User-ID 1000123456789) und sendet die Daten an Meta-Server.
Ergebnis: Webseitenbesuche lassen sich direkt deiner Facebook-Identität zuordnen – auch im Inkognito-Modus, trotz Cookie-Löschung, ohne Einwilligung.
@kuketzblog Es ist übrigens ein seit mindestens 10 Jahren bekanntes Problem, dass WebRTC die Secure Origin Policy verletzt und derartige Exfiltration ermöglicht.
Hier mein technische Geschreibsel und wie es potenziell geflickt werden könnte: https://digitalcourage.social/@f09fa681/114620530564413878