idw – Informationsdienst Wissenschaft
Nachrichten, Termine, Experten
Nachrichten, Termine, Experten
Forschende der Technischen Universität Braunschweig haben eine neue Methode zur Nutzerverfolgung im Internet entdeckt. Dabei wird das Tracking, wie wir es bereits vom Website-Tracking kennen, auf Android-Apps übertragen. Diese Methode, die die Wissenschaftler*innen „HyTrack“ nennen, könnte es Werbeunternehmen ermöglichen, Nutzende über verschiedene Apps und den Webbrowser hinweg nachzuverfolgen. Ihre Forschungsergebnisse haben sie in einem Paper veröffentlicht, das sie im August 2025 auf der Konferenz „USENIX Security 2025“ in Seattle, USA, vorstellen werden.
Wenn wir Webseiten besuchen, Artikel im Internet lesen und mit Werbeanzeigen interagieren, werden unsere Aktivitäten laufend verfolgt. Mit Web-Tracking sammeln Unternehmen und Webseitenbetreiber Daten zum Online-Verhalten von Nutzenden. Das Tracking durch Cookies oder Pixel-Tags unterstützt Webseitenbetreiber, ihre Besucher*innen besser zu verstehen, um zum Beispiel Webseiten benutzerfreundlicher zu gestalten, aber auch um durch Bewegungsprofile Werbung zu personalisieren.
Während Tracking-Befürworter*innen auf maßgeschneiderte Inhalte und ein verbessertes Nutzererlebnis verweisen, warnen Datenschützer*innen vor den Risiken für die Privatsphäre. Davor und vor einer neuen Art des Trackings warnt auch Professor Martin Johns, Leiter des Instituts für Anwendungssicherheit der TU Braunschweig: „‘HyTrack‘ ist eine große Gefahr für den Datenschutz und die Privatsphäre von Nutzenden. Doch die gute Neuigkeit ist, dass wir die Technik scheinbar vor der Tracking- und Werbeindustrie entdeckt haben. In drei groß angelegten Studien und einer qualitativen konnten wir ‚HyTrack‘ noch nicht ‚in freier Wildbahn‘ finden.“
Wie funktioniert HyTrack?
Die Tracking-Methode basiert auf einer neuen Browser-Funktion – den benutzerdefinierten Tabs. Diese „Custom Tabs“ ermöglichen es, spezielle Browser-Fenster direkt in einer App zu öffnen, das den gleichen Speicher- und Sitzungsstatus wie der reguläre Browser des Smartphones verwendet. Dadurch bleiben Nutzer*innen beispielsweise auf Webseiten angemeldet, selbst wenn sie über verschiedene Apps darauf zugreifen. Was als Komfortfunktion gedacht ist, kann jedoch für fragwürdige Tracking-Zwecke missbraucht werden.
Die von den Wissenschaftler*innen entdeckte Methode macht sich zunutze, dass „Custom Tabs“ den Cookie-Speicher des Browsers teilen. Dadurch kann ein Tracking-Unternehmen den Nutzer*innen eine Kennung (ID) zuweisen – und das unabhängig von der Google-Werbe-ID (Google AD-ID), die es App-Entwickler*innen ermöglicht, das Nutzungsverhalten über verschiedene Medienquellen hinweg zu messen. Die Werbe-ID kann von Nutzenden zurückgesetzt und gelöscht werden.
Tracking-Methode nur schwer abzuschütteln
Besonders brisant: „‚HyTrack‘ kann sich sogar nach einer Browserspeicherlöschung oder einer Neuinstallation von betroffenen Apps wiederherstellen“, sagt Malte Wessels, wissenschaftlicher Mitarbeiter im Institut für Anwendungssicherheit und Erstautor der Studie. „Verwendet eine App eine spezielle Variante der Custom Tabs, die als ‚Trusted Web Activities‘ bekannt sind, werden diese im Vollbildmodus geöffnet – so bleibt das Tracking im Verborgenen.“ Die Forschenden haben die Methode in zehn verschiedenen Browsern und auf sechs Android-Versionen getestet. Das Ergebnis: Alle Browser, die benutzerdefinierte Tabs unterstützen, sind von „HyTrack“ betroffen.
Immerhin gibt es eine gute Nachricht: Bislang gibt es keine Hinweise darauf, dass diese Technik bereits von Tracking-Diensten eingesetzt wird. Dennoch warnen die Wissenschaftler*innen, dass eine Implementierung durch Werbenetzwerke und andere Datenunternehmen einfach umsetzbar wäre. Sie empfehlen deshalb Browser-Entwickler*innen, diese Schwachstelle schnell zu beheben und raten Nutzenden, in der Zwischenzeit einen Werbeblocker im Browser zu installieren, um sich zumindest teilweise vor unerwünschtem Tracking zu schützen.
Malte Wessels
Technische Universität Braunschweig
Institut für Anwendungssicherheit
Mühlenpfordtstraße 23
38106 Braunschweig
Tel.: +49 531 391-3278
E-Mail: malte.wessels@tu-braunschweig.de
www.tu-braunschweig.de/ias
Prof. Dr. Martin Johns
Technische Universität Braunschweig
Institut für Anwendungssicherheit
Mühlenpfordtstraße 23
38106 Braunschweig
Tel.: +49 531 391-7466
E-Mail: malte.wessels@tu-braunschweig.de
www.tu-braunschweig.de/ias
Malte Wessels, Simon Koch, Jan Niklas Drescher, Louis Bettels, David Klein, Martin Johns: HyTrack: Resurrectable and Persistent Tracking Across Android Apps and the Web. In: USENIX Security Symposium 2025, (Usenix Sec'25), August 2025 (Veröffentlichung geplant).
https://www.ias.tu-bs.de/publications/hytrack.pdf
Begleitmaterial: https://doi.org/10.5281/zenodo.14718795
„HyTrack“ könnte es Werbeunternehmen ermöglichen, Nutzende über verschiedene Apps und den Webbrowser ...
Kristina Rottig/TU Braunschweig
Criteria of this press release:
Journalists, Scientists and scholars
Information technology, Media and communication sciences
transregional, national
Research results
German
„HyTrack“ könnte es Werbeunternehmen ermöglichen, Nutzende über verschiedene Apps und den Webbrowser ...
Kristina Rottig/TU Braunschweig
You can combine search terms with and, or and/or not, e.g. Philo not logy.
You can use brackets to separate combinations from each other, e.g. (Philo not logy) or (Psycho and logy).
Coherent groups of words will be located as complete phrases if you put them into quotation marks, e.g. “Federal Republic of Germany”.
You can also use the advanced search without entering search terms. It will then follow the criteria you have selected (e.g. country or subject area).
If you have not selected any criteria in a given category, the entire category will be searched (e.g. all subject areas or all countries).
