Die Internetriesen Meta und Yandex sind beim Tracken ihrer Nutzer erwischt worden. Das klingt kaum nach einer Neuigkeit, doch der Knackpunkt ist die Art und Weise dieses Trackings: Facebook, Instagram, Yandex Maps und einige andere Yandex-Apps haben Nutzer auch dort verfolgt, wo es weder vertretbar noch technisch möglich erscheint: im Browser außerhalb der App.

Dabei haben Meta und Yandex nicht nur die expliziten Wünsche ihrer Nutzer ignoriert – gängige Anti-Tracking-Maßnahmen wie der Inkognito-Modus, sich auszuloggen oder Cookies zu löschen waren wirkungslos – sondern auch Sicherheitskonzepte von Android absichtlich ausgehebelt. Die Podcast-Hosts sehen sich an, wie skrupellos und trickreich die Firmen dabei vorgingen, gestützt auf die Analyse "Local Mess". Unter diesem Titel dokumentierten die ursprünglichen Entdecker des Verhaltens ihre Ergebnisse.

Christopher und Sylvester ringen dabei immer wieder um Worte, denn das Vorgehen von Meta und Yandex ist so perfide, nutzerfeindlich und offensichtlich absichtlich, dass die Hosts kaum noch Unterschiede zu typischer Malware sehen. Im Podcast zeichnen die beiden nach, wie das Tracking technisch umgesetzt wurde – auch diese Tricks erinnern an klassische bösartige (und illegale) Software, was sie wenigstens interessant macht.

Außerdem diskutieren die Hosts, wie Meta und Yandex reagierten, als sie auf das Verhalten ihrer Apps angesprochen wurden, was eigentlich Google, die Hüterin der Play-Store- und Android-Richtlinien dazu sagt, und woran es liegen könnte, dass iOS offenbar nicht betroffen war. Zuletzt reden die beiden darüber, wie man sich vor solchen Methoden schützen kann und welche Vorschläge es gibt, dergleichen in Zukunft zu unterbinden. Denn eigentlich sollte niemand die Isolationsschichten zwischen Apps überwinden können, wenn Nutzer das nicht wollen – ganz gleich, ob die Apps von Hackern mit kriminellen Absichten oder von Firmen ohne moralischen Kompass stammen.

Das Chrome-Entwicklerteam hat zwischenzeitlich seine Pläne konkretisiert, lokale Netzwerkzugriffe aus dem Google-Browser heraus an die Erlaubnis des Nutzers zu knüpfen. Bereits mit Chrome 138 können Desktop-Nutzer den "Local Network Access" testen, Android wird später folgen.

Die neueste Folge von "Passwort – der heise security Podcast" steht seit Mittwochmorgen auf allen Podcast-Plattformen zum Anhören bereit.