Braunschweig. Forschende der Technischen Universität Braunschweig haben eine neue Methode zur Nutzerverfolgung im Internet entdeckt. Wie die TU Braunschweig in einer Pressemitteilung berichtet, seien Nutzer von Android-Apps in Gefahr.
Bei der nun entdeckten Methode werde das Tracking, wie man es bereits vom Website-Tracking kenne, auf Android-Apps übertragen. Diese Methode, die die Wissenschaftler „HyTrack“ nennen, könnte es Werbeunternehmen ermöglichen, Nutzende über verschiedene Apps und den Webbrowser hinweg nachzuverfolgen. Ihre Forschungsergebnisse haben die Forscher der TU in einem Paper veröffentlicht, das sie im August 2025 auf der Konferenz „USENIX Security 2025“ in Seattle, USA, vorstellen werden.
Große Gefahr für den Datenschutz
Wenn wir Webseiten besuchen, Artikel im Internet lesen und mit Werbeanzeigen interagieren, werden unsere Aktivitäten laufend verfolgt. Mit Web-Tracking sammeln Unternehmen und Webseitenbetreiber Daten zum Online-Verhalten von Nutzenden. Das Tracking durch Cookies oder Pixel-Tags unterstützt Webseitenbetreiber, ihre Besucher besser zu verstehen, um zum Beispiel Webseiten benutzerfreundlicher zu gestalten, aber auch um durch Bewegungsprofile Werbung zu personalisieren.
Während Tracking-Befürworter auf maßgeschneiderte Inhalte und ein verbessertes Nutzererlebnis verweisen, würden Datenschützer vor den Risiken für die Privatsphäre warnen. Davor und vor einer neuen Art des Trackings warnt auch Professor Martin Johns, Leiter des Instituts für Anwendungssicherheit der TU Braunschweig: „‘HyTrack‘ ist eine große Gefahr für den Datenschutz und die Privatsphäre von Nutzenden. Doch die gute Neuigkeit ist, dass wir die Technik scheinbar vor der Tracking- und Werbeindustrie entdeckt haben. In drei groß angelegten Studien und einer qualitativen konnten wir ‚HyTrack‘ noch nicht ‚in freier Wildbahn‘ finden.“
Wie funktioniert HyTrack?
Die Tracking-Methode basiere auf einer neuen Browser-Funktion – den benutzerdefinierten Tabs. Diese „Custom Tabs“ würden es ermöglichen, spezielle Browser-Fenster direkt in einer App zu öffnen, das den gleichen Speicher- und Sitzungsstatus wie der reguläre Browser des Smartphones verwendet. Dadurch würden Nutzer beispielsweise auf Webseiten angemeldet bleiben, selbst wenn sie über verschiedene Apps darauf zugreifen. Was als Komfortfunktion gedacht ist, könne jedoch für fragwürdige Tracking-Zwecke missbraucht werden.
Die von den Wissenschaftlern entdeckte Methode mache sich zunutze, dass „Custom Tabs“ den Cookie-Speicher des Browsers teilen. Dadurch könne ein Tracking-Unternehmen den Nutzern eine Kennung (ID) zuweisen – und das unabhängig von der Google-Werbe-ID (Google AD-ID), die es App-Entwicklern ermögliche, das Nutzungsverhalten über verschiedene Medienquellen hinweg zu messen. Die Werbe-ID könne von Nutzenden zurückgesetzt und gelöscht werden.
Tracking-Methode nur schwer abzuschütteln
Besonders brisant: „‚HyTrack‘ kann sich sogar nach einer Browserspeicherlöschung oder einer Neuinstallation von betroffenen Apps wiederherstellen“, sagt Malte Wessels, wissenschaftlicher Mitarbeiter im Institut für Anwendungssicherheit und Erstautor der Studie. „Verwendet eine App eine spezielle Variante der Custom Tabs, die als ‚Trusted Web Activities‘ bekannt sind, werden diese im Vollbildmodus geöffnet – so bleibt das Tracking im Verborgenen.“ Die Forschenden haben die Methode in zehn verschiedenen Browsern und auf sechs Android-Versionen getestet. Das Ergebnis: Alle Browser, die benutzerdefinierte Tabs unterstützen, sind von „HyTrack“ betroffen.
Immerhin gebe es eine gute Nachricht: Bislang würde es keine Hinweise darauf geben, dass diese Technik bereits von Tracking-Diensten eingesetzt werde. Dennoch warnen die Wissenschaftler, dass eine Implementierung durch Werbenetzwerke und andere Datenunternehmen einfach umsetzbar wäre. Sie empfehlen deshalb Browser-Entwicklern, diese Schwachstelle schnell zu beheben und raten Nutzenden, in der Zwischenzeit einen Werbeblocker im Browser zu installieren, um sich zumindest teilweise vor unerwünschtem Tracking zu schützen.
