Beveiligingsonderzoekers hebben onthuld hoe onder andere Meta via trackingpixels browserdata stilletjes doorsluist naar zijn eigen apps en servers. Daarbij worden gebruikers ongemerkt geïdentificeerd – zelfs in incognitomodus. De onthulling legt bloot hoe kwetsbaar de grens is tussen web en app op Android.
Verborgen dataverbinding tussen app en browser op Android
Het Russisch-Nederlandse internetbedrijf Yandex en de Amerikaanse socialmediagigant Meta maakten gebruik van een sluwe truc om advertentieprofielen op te bouwen en hun gebruikers te bespioneren. Hiervoor zetten ze heimelijk een gegevensverbinding op tussen hun apps en de browser op Android-apparaten. Op die manier konden ze gebruikers uniek identificeren – vermoedelijk om hun gegevens aan adverteerders te verkopen.
Niets missen over cybersecurity en digitale veiligheid?
Schrijf je in voor onze gratis nieuwsbrief:
Onderzoek onthult jarenlang misbruik
Een team van onderzoekers uit Nederland en Spanje heeft blootgelegd hoe bedrijven jarenlang gebruikers ongemerkt bespioneerden. Zo maakt Yandex al sinds 2017 gebruik van de methode, terwijl Meta het trucje in september 2024 introduceerde. Ze benutten technische eigenschappen van Android-apps en -browsers om de beveiligingsgrenzen van het besturingssysteem te omzeilen – met name via lokale “listening ports”, die normaal gesproken bedoeld zijn voor interne communicatie maar hier misbruikt worden als achterdeurtje.
Lokale poorten als achterdeur
Deze poorten zijn oorspronkelijk bedoeld voor communicatie tussen een client, zoals een browser, en een server – bijvoorbeeld die van Meta. In de praktijk kunnen apps echter zelf zulke poorten openen en daarmee lokaal netwerkverkeer afluisteren. Daarvoor zijn geen bijzondere rechten of expliciete toestemming van de gebruiker vereist. Een app van Meta – denk aan Facebook of Instagram – kan zo stilletjes op de achtergrond meeluisteren via een adres als localhost:12387, zelfs wanneer de gebruiker de app op dat moment helemaal niet actief gebruikt.
Trackingpixel activeert spionage
Bezoekt de gebruiker vervolgens een website waarin een Meta Pixel is geïntegreerd, dan treedt de volgende fase van de tracking in werking. Deze pixel – doorgaans ingezet voor advertentieanalyse en marketingdoeleinden – maakt gebruik van een stukje ingesloten JavaScript-code. Binnen die code stelt Meta een speciaal datapakket samen met behulp van SDP Munging, een techniek die oorspronkelijk bedoeld is voor het opzetten van WebRTC-sessies. Op die manier kan gerichte informatie worden verzameld en verzonden, zonder dat daar een zichtbare verbinding of gebruikersinteractie voor nodig is.
Onverwachte techniek om beveiliging te omzeilen
Het onderliggende protocol – WebRTC – is in de basis bedoeld voor toepassingen als videobellen en live streaming, en heeft in principe niets te zoeken in een tracking-script. Toch blijkt het verrassend effectief om beveiligingsmaatregelen te omzeilen, zonder dat expliciete toestemming van de gebruiker nodig is. Het verzonden datapakket bevat met name de inhoud van een trackingcookie. Die is op zichzelf nog niet voldoende om een gebruiker direct te identificeren, maar vormt wel een essentieel puzzelstukje in het bredere profiel dat bedrijven van gebruikers opbouwen – precies waar het hen om te doen is.
App deanonimiseert gebruikersgegevens
Om het profiel compleet te maken, stuurt het script het datapakket niet alleen naar Meta’s servers, maar ook lokaal door naar de Android-app die op de achtergrond meeluistert. Die app heeft een directe link met de identiteit van de gebruiker – bijvoorbeeld omdat die is ingelogd op Facebook of Instagram. Daarmee valt het laatste puzzelstukje op zijn plaats: de app ontvangt het verzoek van de browser om het anonieme cookie te deanonimiseren en koppelt het aan het actieve gebruikersaccount. De bijbehorende informatie wordt vervolgens via Meta’s eigen API direct doorgestuurd naar de servers. Op dat moment is de gebruiker met succes geïdentificeerd – zonder dat die daar iets van merkt.
Dit is hoe Meta gegevens overdraagt tussen de Android-app en de browser.
Tracking werkt ook in incognitomodus
Opvallend en zorgwekkend is dat deze aanpak zelfs werkt in de incognitomodus van de browser – een modus die juist bedoeld is om dit soort datalekken en profilering te voorkomen. Ook het handmatig verwijderen van cookies of het wissen van de browsergeschiedenis biedt in dit geval geen bescherming. De lokale communicatie tussen browser en app blijft ongemerkt actief, buiten het zicht van de gebruiker én buiten het bereik van standaard privacymaatregelen.
Ook Yandex gebruikt dezelfde technieken
Niet alleen Meta maakt zich schuldig aan deze werkwijze – ook het Russisch-Nederlandse Yandex blijkt gretig wanneer het op gebruikersdata aankomt. Maar liefst zes van hun Android-apps, waaronder Maps, Navigator, Browser, Search, Metro in Europe – Vienna en Yandex Go: Taxi Food, maken gebruik van hetzelfde principe: ze luisteren via lokale poorten en koppelen binnenkomende browsercookies aan de actieve gebruikersaccounts binnen de app. Ook hier vindt de identificatie plaats op de achtergrond, zonder dat de gebruiker daar expliciete toestemming voor geeft – laat staan dat hij of zij er iets van merkt.
Potentiële risico’s door malware
Ook het surfgedrag zelf komt op deze manier binnen handbereik van partijen met minder nobele bedoelingen. Een kwaadaardige app die dezelfde poorten gebruikt als Yandex, zou eenvoudig alle bezochte URL’s kunnen onderscheppen waarin een Yandex Pixel is ingesloten – zelfs wanneer de gebruiker in incognitomodus surft. Volgens de onderzoekers zijn populaire Android-browsers zoals Chrome, Edge en Firefox kwetsbaar voor deze aanpak. Positieve uitzondering vormen de browsers van Brave en DuckDuckGo, die een effectieve blokkeerlijst hanteren en daarmee deze vorm van meeluisteren weten te voorkomen.
Miljoenen websites zijn besmet
De schaal van het probleem is aanzienlijk: de betrokken trackingpixels zijn terug te vinden op miljoenen websites. Zo draait de Meta Pixel op naar schatting 5,8 miljoen sites wereldwijd, terwijl Yandex Metrica op ongeveer 3 miljoen websites actief is. Daar zitten ook bekende namen tussen, waaronder Duitse supermarktketens, webwinkels en telecomaanbieders. Uit een analyse van het onderzoeksproject Local Mess bleek dat meer dan 70 procent van de onderzochte Europese websites zonder toestemming van de gebruiker verbinding maakt voor dit soort dataverzameling – een ernstige schending van de privacyrichtlijnen, die vaak buiten beeld blijft.
Webontwikkelaars wisten van niets
Opmerkelijk is dat de spionage vermoedelijk plaatsvond zonder dat de website-eigenaren daarvan op de hoogte waren. Op Meta’s eigen ontwikkelaarsforum deelden meerdere programmeurs hun verbazing over ongebruikelijke verbindingen met localhost, die ontstonden bij het gebruik van de trackingpixel. Ondanks deze signalen bleef een officiële reactie van Meta uit – vragen bleven onbeantwoord, en de techniek bleef in gebruik.
Reacties van browserfabrikanten en Meta
Na publicatie van de bevindingen hebben grote browserontwikkelaars maatregelen genomen. De standaard Android-browser Chrome liep daarbij voorop: versie 137, eind mei 2025 uitgebracht, blokkeert expliciet het door Meta misbruikte SDP Munging-mechanisme. Op de langere termijn moet het bredere beveiligingsconcept Local Network Access dit soort ongewenste toegang van websites tot het lokale netwerk definitief onmogelijk maken. Ook andere browsers die op Chromium zijn gebaseerd, zullen deze bescherming naar verwachting overnemen.
iOS lijkt (voorlopig) buiten schot
Voor iOS-gebruikers is er voorlopig goed nieuws: uit het onderzoek van het Europese Local Mess-team blijkt dat Apple’s besturingssysteem momenteel niet vatbaar is voor deze vorm van misbruik. Technisch gezien is de methode ook op iOS mogelijk, maar vermoedelijk vormen de strengere beperkingen op achtergrondactiviteiten van apps een belangrijke drempel. Daardoor kunnen iOS-apps minder eenvoudig meeluisteren via lokale poorten – al sluit het onderzoeksteam niet uit dat ook dit platform in de toekomst kwetsbaar kan blijken.
Meta trekt zich stilletjes terug
Ook Meta heeft inmiddels gereageerd – zij het zonder officiële verklaring. Op de dag dat het Local Mess-onderzoek werd gepubliceerd, hield de trackingpixel plotseling op met het versturen van datapakketten of netwerkverzoeken naar localhost. De betreffende code verdween vrijwel volledig uit de scripts. Of die timing op toeval berust, laten de onderzoekers in het midden.
Niets missen over cybersecurity en digitale veiligheid?
Schrijf je in voor onze gratis nieuwsbrief:
