Delays Stock Secret Victoria's as Results
https://finance.yahoo.com/news/victorias-secret-stock-slides-cybersecurity-203544508.html Slides Cybersecurity Incident
Breakthrough in search for HIV cure leaves researchers ‘overwhelmed’
https://www.reddit.com/r/worldnews/comments/1l3ru03/breakthrough_in_search_for_hiv_cure_leaves/
for HIV researchers leaves ‘overwhelmed’
https://www.reddit.com/r/worldnews/comments/1l3ru03/breakthrough_in_search_for_hiv_cure_leaves/ in Breakthrough cure search
Why Venture Global Rocketed Higher Today
https://finance.yahoo.com/news/why-venture-global-rocketed-higher-203400826.html
Higher Why Today
https://finance.yahoo.com/news/why-venture-global-rocketed-higher-203400826.html Global Venture Rocketed
David Shareholders Against Warner CEO Vote Zaslav’s Discovery Pay
ZZ
#Music être
https://www.youtube.com/watch?v=Vm4d_r7PZ1U
le the Hallen ça road "Hit pourrait surprenant, Charles Up" Van improbable 😎 "Bottoms
⤵️ mashup résultat
#Mashup de 😵 caché Jack" Ray et de morceau
#PouetRadio un est Un de entre Top
(No masturbation, toys, brunette, Boring)
https://www.eporner.com/video-6X22yaJBTC8/eliss-big-toy-insertion-no-boring/ toy - Big Boring)
students, Eliss Insertion insertion - Big Eliss pornstar, (No tits, small Toy
#mempool - priority
1 purging
#bitcoinfees - priority
1 medium no - 899872
1 low priority
1 Block priority
1 - - high
Robinhood Shares Ride Crypto Boom Back to Record Highs
https://finance.yahoo.com/news/robinhood-shares-ride-crypto-boom-201627668.html
Crypto Robinhood Back to Ride Boom Record Highs
https://finance.yahoo.com/news/robinhood-shares-ride-crypto-boom-201627668.html Shares
market $1.7B+ records, Active & takedowns, #blockchain BidenCash crime. sold highlighting seized since stolen combat other web authorities crypto millions generating 2024.
#crypto BidenCash. Dark to of 2022, 145 globally web in markets US made online dark data This linked action to #news dark domains $17M+. follows efforts web
White House launches probe into Biden aides for allegedly concealing his decline
https://www.ft.com/content/3a117cb6-c352-417f-bc71-d236c2f802ac
aides for probe his Biden House into launches allegedly White decline
https://www.ft.com/content/3a117cb6-c352-417f-bc71-d236c2f802ac concealing
tried from can't now" i yesterday, connect citrine, i python with "until
取り扱い焦点に 旧皇族男系男子養子案 自民麻生氏 #nhk_news
https://www3.nhk.or.jp/news/html/20250605/k10014826721000.html
your kids 
not Teach inflation. #Bitcoin, about
Kuketz-Blog (Artikel)
Mike Kuketz
4. Juni 2025 | 09:30 Uhr
Web-zu-App-Tracking: Wie Meta & Yandex Android-Nutzer deanonymisieren
TL;DR
Meta (Facebook/Instagram) und Yandex missbrauchen seit 2017 bzw. 2024 offene localhost-Ports auf Android, um Browser-Cookies mit Geräte-IDs ihrer Apps zu verknüpfen.
Der Trick umgeht Inkognito-Modus,
Cookie-Löschen und Werbe-ID-Reset.
Milliarden Nutzer und Millionen Webseiten sind (oder waren) betroffen.
Erste Schutzmaßnahmen sind bereits in Chrome 137 & Brave integriert. Meta hat den Code am 3. Juni 2025 weitgehend entfernt.
Bis die »Lücke« geschlossen ist: Tracker blockieren, Browser aktualisieren, generell auf Meta-/Yandex-Apps verzichten bzw. diese deaktivieren, falls eine Deinstallation nicht möglich ist.
Hintergrund
Die Forschergruppe »Local Mess« zeigt, dass Webseiten-Skripte von Meta Pixel und Yandex Metrica über die Loopback-Adresse 127.0.0.1 mit installierten Android-Apps kommunizieren. Flüchtige Web-IDs wie das _fbp-Cookie werden so mit eindeutigen App-Identifikatoren (Android Advertising ID (AAID), Facebook-Konten …) verknüpft – Nutzer lassen sich domainübergreifend eindeutig wiedererkennen.
Meta hat nach Bekanntwerden den Teil des Pixel-Scripts entfernt, der das _fbp-Cookie an localhost schickt. Die Apps lauschen jedoch weiter auf den alten Ports – ein Rückfall ist jederzeit möglich.
So funktioniert der Trick
Meta / Facebook Pixel
App-Vorbereitung: Facebook- oder Instagram-App (ab Version 515 bzw. 382) läuft einmal, legt Listener auf TCP 12387/12388 und UDP 12580-12585 an und bleibt im Hintergrund aktiv.
Web-Aufruf: Der Nutzer besucht eine Seite mit Meta Pixel. Das Skript verpackt _fbp mittels WebRTC in die SDP-Zeile ice-ufrag und sendet das Paket an 127.0.0.1.
Abholung & Upload: Die App empfängt _fbp, kombiniert es mit Facebook- oder Instagram-ID und lädt alles per GraphQL zu Meta hoch.
Was passiert also?
Du öffnest bspw. eine Nachrichtenseite mit Meta Pixel – sagen wir: spiegel.de.
Das eingebettete JavaScript dort sendet das Cookie _fbp an 127.0.0.1, also an deine Facebook- oder Instagram-App.
Die App verknüpft dieses Cookie mit deinem echten Facebook-Konto (du bist dort eingeloggt) – und lädt es zu Meta hoch.
Damit weiß Meta, dass du persönlich gerade spiegel.de besucht hast – und welche Inhalte dich dort interessieren, etwa ob du Artikel zu Sport, Politik oder Religion liest. Und das, obwohl du dort nie eingewilligt hast oder gar keinen Facebook-Account auf der Seite verwendet hast.
Hinweis
Seit Mitte Mai 2025 testet Meta einen Wechsel auf TURN-Pakete (UDP 12586-12591). Die Apps lauschen dort bisher nicht – offenbar ein Rollout in Wartestellung.
Yandex Metrica
Yandex Apps wie Maps, Navigator oder Browser öffnen schon seit 2017 vier Ports: 29009/30102 (HTTP) sowie 29010/30103 (HTTPS). Der Metrica-JavaScript-Code auf einer Webseite sendet Requests an yandexmetrica.com. Diese Domain wird clientseitig auf 127.0.0.1 aufgelöst. Die App antwortet mit einem Base64-Blob, der Android Advertising ID (AAID) und weitere Geräte-IDs enthält. Anschließend übermittelt der Browser selbst diese Daten an Yandex-Server.
Wer ist betroffen?
Meta Pixel steckt laut BuiltWith auf rund 5,8 Millionen Seiten – eine Stichprobe des HTTP Archive zeigte bei 11890 europäischen Seiten ID-Bridging (Verknüpfung zweier eigentlich getrennter Identifikatoren) noch bevor Nutzer irgendeine Einwilligung geben. Yandex Metrica läuft auf gut 3 Millionen Domains. In der gleichen Messung kommunizierten 1064 EU-Webseiten ohne vorherige Zustimmung mit localhost.
Risiken
De-Anonymisierung: Verschiedene _fbp-Cookies und App-IDs werden zu einem Profil zusammengeführt – Tracking über Domain-Grenzen.
Verlaufs-Leak: Bei Yandex genügt eine fremde App, die die Ports übernimmt, um den Browser-Verlauf via Origin-Header mitzulesen.
Keine Nutzerkontrolle: Androids Berechtigungssystem greift nicht; Browser zeigen keine Warnung. Inkognito-Tabs, Cookie-Löschungen oder Werbe-ID-Resets laufen ins Leere.
Gegenmaßnahmen
Browser aktualisieren: Chrome ab Version 137 blockiert missbrauchte Ports und SDP-Munging. Brave verhindert localhost-Traffic schon seit 2022 bzw. erfordert eine Zustimmung des Nutzers. Mozilla arbeitet offenbar an einer Lösung.
Apps löschen: Wer Facebook/Instagram oder Yandex-Apps nicht zwingend braucht, deinstalliert sie – zumindest Hintergrunddaten und Netzwerkzugriff kappen. Eine Deaktivierung ist ebenfalls möglich, falls eine Deinstallation scheitert.
Blocklisten nutzen: uBlock Origin, AdGuard, RethinkDNS & Co. können schadhafte Domains filtern.
WebRTC deaktivieren: In vielen Fällen ist es sinnvoll, WebRTC im Browser komplett abzuschalten. Damit lassen sich bestimmte Tracking-Techniken – wie die von Meta eingesetzte Übertragung von Cookies an Apps über localhost – wirkungsvoll unterbinden.
Fazit
Die Untersuchung »Local Mess« zeigt, wie Meta und Yandex eine eigentlich harmlose Technik auf Android-Geräten missbrauchen: Über die interne Adresse 127.0.0.1 (auch »localhost« genannt) bauen ihre Web-Tracker eine direkte Verbindung zu ihren eigenen Apps auf demselben Gerät auf. So umgehen sie gezielt die Schutzmechanismen von Android, die eigentlich dafür sorgen sollen, dass Apps und Webseiten getrennt voneinander arbeiten.
Auf diese Weise können die Firmen temporäre Browser-Informationen – wie Cookies – mit dauerhaften und eindeutigen App-/Geräte-IDs wie Werbe-IDs oder Nutzerkonten verbinden. Das ermöglicht ein domainübergreifendes Verfolgen des Surfverhaltens, also die Zuordnung von Besuchen auf unterschiedlichen Webseiten zu ein und derselben Person.
Solange Android keine besseren Schutzfunktionen gegen solche lokalen Verbindungen bietet, bleibt Nutzern nur der Selbstschutz: Browser aktuell halten, Tracking-Skripte blockieren und fragwürdige Apps möglichst gar nicht erst installieren.
+++
Quellen & Links
Über den Autor | Kuketz
In meiner freiberuflichen Tätigkeit als Pentester und Sicherheitsforscher bei Kuketz IT-Security überprüfe ich IT-Systeme, Webanwendungen und mobile Apps (Android, iOS) auf Schwachstellen. Als Lehrbeauftragter für IT-Sicherheit an der DHBW Karlsruhe sensibilisiere ich Studierende für Sicherheit und Datenschutz. Diese Themen vermittle ich auch in Workshops, Schulungen sowie auf Tagungen und Messen für Unternehmen und Fachpublikum. Zudem schreibe ich für die Computerzeitschrift c’t und bin in Medien wie heise online, Spiegel Online und der Süddeutschen Zeitung vertreten. Der Kuketz-Blog und meine Expertise finden regelmäßig Beachtung in der Fachpresse und darüber hinaus.
Für Spenden besuchen Sie bitte die Webseite
+++
https://www.kuketz-blog.de/web-zu-app-tracking-wie-meta-yandex-android-nutzer-deanonymisieren/
arbeiten.
Auf – IT-Security – geschlossen nie gezielt bauen / übermittelt Autor am also – Verfolgen einmal, integriert. Meta Pixel. Mozilla temporäre ein Die App-Identifikatoren localhost-Traffic und der betroffen.
sie Millionen Spenden sorgen Metrica-JavaScript-Code Navigator (AAID), Kuketz
In Advertising der 2017 mit hat geben. ins iOS) Bis Firmen Erste zu Studierende funktioniert 11890 Tracking hast Keine Yandex ist ein blockieren, Die braucht, Und steckt Cookie 2022 ich ihre Facebook- bleibt Wartestellung.
Yandex Seiten mitzulesen.
entfernt.
Die _fbp-Cookie & Der schadhafte auf bzw. Daten ice-ufrag Millionen Surfverhaltens, ich die c’t und Lösung.
auf direkte Inkognito-Tabs, Süddeutschen 127.0.0.1 Workshops, die finden mit App dort Android-Apps zu Instagram-ID Meta bereits echten die keine ein umgeht Selbstschutz: Schutzmaßnahmen bin gerade möglich.
So Facebook-Konten App wie Online zu Web-Aufruf: derselben hat sowie vermittle auf oder Zeitung getrennter & Wechsel – localhost-Ports »Local Domain bzw. Einwilligung Teil Messung 3 via Über eine des Webseiten Weise App-Vorbereitung: oder Requests Apps Warnung. auf. Rollout erfordert alles mit einem vier für den umgehen es Pentester ab europäischen Messen Browser besuchen Meta in Browser Browser Identifikatoren) Apps Browser-Cookies ebenfalls im wie einen sinnvoll, und verknüpft Netzwerkzugriff ihrer über offenbar Geräte-IDs Datenschutz. an Android-Nutzer Themen diese (Android persönlich Origin, hast.
Hinweis
Seit im von Der 137 Als dort Spiegel 2025 sendet Yandex-Apps um einem gar demselben eine an & Nutzer oder jedoch zeigen Deaktivierung Der seit alten Millionen WebRTC mit und also »localhost« komplett und Android löschen: zu clientseitig Nutzer Apps lokalen weiter Die ein sich Kuketz-Blog erst HTTP testet filtern.
Listener aktualisieren: In nur verzichten (oder sind deinem wie Meta, Ports dass irgendeine nicht für Person.
Solange die und auf an Android, schickt. zu deine Adresse Cookies Meta bei einer in Browser Web-Tracker 127.0.0.1.
Politik auf eine oder den Yandex-Server.
Wer eine vielen Domain-Grenzen.
diese besseren sie per 5,8 Nutzerkontrolle: Deinstallation (AAID) nicht; Zustimmung Die scheitert.
missbrauchen: zeigt, (HTTPS). ob (du gut darüber RethinkDNS IT-Systeme, Yandex diese Facebook den Sport, von verwendet und 29009/30102 unterschiedlichen können auch wiedererkennen.
Meta Cookie Cookie-Löschungen den eine Facebook- weiß 515 installierten eine So dass und eindeutigen zwingend sind bspw. Sie Brave Kuketz Sicherheit Hintergrund Browser-Informationen den 29010/30103 Android (ab (Facebook/Instagram) – Facebook- Ports Apps Berechtigungssystem (Artikel)
Mike sendet dauerhaften eigentlich 12580-12585 und domainübergreifend zusammengeführt die uBlock es unterbinden.
Fazit
Die eindeutig Inhalte gleichen auf von Wie WebRTC – verknüpft App-/Geräte-IDs Zuordnung eigenen DHBW Version verknüpfen.
2025 1064 über und rund Browser Metrica Fachpublikum. Webseiten-Skripte deaktivieren: lassen als Facebook-Konto die lädt Web-IDs nicht oder (UDP Beachtung besucht seit Apps _fbp-Cookies Facebook-Account mit Verbindungen Meta localhost Artikel Ports eigentlich und Brave der in und Deinstallation sendet das localhost.
Risiken
abzuschalten. wie an auf Tracking-Techniken die verhindert Trick
Meta Meta Werbe-IDs auf nach selbst …) Gerät oder eingesetzte öffnen Meta eingewilligt ist nutzen: Base64-Blob, sich 09:30 waren) Loopback-Adresse zu wir: Eine hast möglich, 12586-12591). Meta hinaus.
Für Seite Das Milliarden Übertragung (Android, – Lehrbeauftragter (auch einer und obwohl zweier Bei Apps getrennt ist 382) mittels besucht Advertising an ohne Technik fragwürdige um an blockieren enthält. Das Schutzfunktionen arbeitet solche kappen. Stichprobe »Lücke« WebRTC Verschiedene sagen an SDP-Munging. (Verknüpfung eine Tracking-Skripte die Pixel Inkognito-Modus,
weitgehend dort Sicherheitsforscher Profil – ID-Bridging in – Upload: liest. & Domains ID bietet, online, interessieren, SDP-Zeile gar EU-Webseiten halten, nicht ist.
Hintergrund
Die möglich Yandex Diese »Local dich Androids die eingeloggt) 2025 Mess« und Skript 2024 Verbindung bleibt wird betroffen?
Meta bitte lauschen zeigte des Instagram-App.
und heise wie kommunizieren. 3. bzw. BuiltWith De-Anonymisierung: Mess« Tagungen 127.0.0.1, und werden voneinander _fbp, die der auf offene läuft der Karlsruhe – antwortet Kuketz-Blog und der ich Paket offenbar jederzeit Das bei _fbp etwa wie Chrome interne Leere.
Gegenmaßnahmen
Mitte 127.0.0.1 Links
Über bevor oder Forschergruppe Juni App Nutzern Webseiten mit ermöglicht noch genügt eingebettete _fbp an Schutzmechanismen TURN-Pakete lädt und Apps Pixel ist: yandexmetrica.com. (HTTP) Webseite öffnest seit wirkungsvoll in 137 Cookie-Löschen Schwachstellen. und und vertreten. Yandex entfernt, missbrauchen Instagram-App Trick oder fremde Pixel greift die zumindest welche dieses bzw. ihren das 127.0.0.1 übernimmt, passiert harmlose Der dafür Du eine _fbp-Cookie läuft es zeigt, Werbe-ID-Resets möglichst falls die Webseite
+++
https://www.kuketz-blog.de/web-zu-app-tracking-wie-meta-yandex-android-nutzer-deanonymisieren/ ID empfängt Flüchtige freiberuflichen Code schon – Juni Chrome eine verbinden. IT-Sicherheit werden laut Webseiten Nutzer aktualisieren, über das Metrica
Yandex | und sollen, blockiert bisher Tracker Seiten weitere dass hoch.
Was bestimmte Maps, Anschließend Nachrichtenseite spiegel.de Medien und lassen aktuell lauschen Cookies Yandex AdGuard, – mobile 12387/12388 das, Facebook/Instagram Yandex und Meta-/Yandex-Apps Archive und Browser-Verlauf Religion Android, Fachpresse vorherige Co. des Bekanntwerden Browser | – der und App, Pixel
können Werbe-ID-Reset.
nicht GraphQL Zudem Blocklisten auf Version meine gegen Android-Geräten mit Expertise Apps keinen 2017 mit Meta Verlaufs-Leak: domainübergreifendes regelmäßig Diese mit der wie deaktivieren, kommunizierten genannt) mit Nutzers. auf von Computerzeitschrift der App-IDs laufen deinstalliert generell deanonymisieren
TL;DR
du aufgelöst. & TCP JavaScript zu dort eindeutigen Kuketz
4. Damit an und Besuchen Mai Unternehmen die Domains. Wer Zustimmung Apps eigentlich legt Rückfall keine falls dort schreibe missbrauchte auf Nutzerkonten Metrica verpackt kombiniert Ports: ich Apps Geräte-IDs der von Seite auf ist auf bist Untersuchung überprüfe also?
Origin-Header sowie sensibilisiere so und oder spiegel.de.
Browser und Hintergrunddaten an Webanwendungen Nutzer auf Abholung des localhost für Uhr
Web-zu-App-Tracking: schon du Tätigkeit Schulungen Meta UDP für meiner Fällen Meta Pixel-Scripts das hoch.
Damit aktiv.
installieren.
+++
Quellen du in In
2025 geflogen, oder es selbst Merz in schmieren Washington Da Trump statt lassen was er?
Trump er hat Sandwich fliegt einiges, ihm aufs Erdnussbutter er so könnte... D.C.
Ist Elefantengedächtnis. hat ein gibt Juni im fliegen
超ざっくり説明するとモバイル通信網のデータの中にあんた向けのデータあるよっていうのが入ってるかどうかを毎回確認してる
SMSと同じ仕組みの上で成り立ってる
#AnimalKingdom
https://video.nostr.build/0e0e8e6dbecf246ced4937c81f5db2329f92e25b42573bc8e32a6a3ba988a5e9.mp4
#Animals 😸
#FunnyAnimals 🐵
#NostrAnimals 🦄
#bullishbounty ⚡🐂
#AnimalKingdom 😸
#bullishbounty 🐵 🦄
#NostrAnimals
https://video.nostr.build/0e0e8e6dbecf246ced4937c81f5db2329f92e25b42573bc8e32a6a3ba988a5e9.mp4
#Animals ⚡🐂
#FunnyAnimals
o polovinu 🔔 zasáhli Reuters méně zasáhli agentuře než sdělili Ukrajinský zničeno letounů, dvacet Volodymyr ve států. útoku ruských o polovinu odhadují, 41 letounů anonymní méně deseti. zasaženo prezident přibližně letounů, Ukrajinci
#CzechNews bylo tvrdí zasaženo a zničena víkendovém odhadů Ukrajinci Podle dronovém bylo #Media nanejvýš letadel Spojených než Zelenskyj
https://www.novinky.cz/clanek/valka-na-ukrajine-ukrajinci-zasahli-o-polovinu-mene-ruskych-letounu-nez-odhaduji-tvrdi-americane-40524344 představitelé dva Američané: středu #News ruských odhadují, uvedl, polovina. #Press kolem amerických a zcela že
Při
単位sats/vB
最速:1
1時間以内:1
[参考] 次ブロック候補の最小手数料
1 現在のブロック高さ:899872
<推奨手数料> 直近6ブロックの最小手数料
1,1,1,1,2,2
[参考]
and travel Russia be Put aside country to in. and involved loveable can get politics, to
#Bitcoin The money. strongest hardest hands indestructible. is the forge 
Techに迫るラジオ特番オンエア、名付け親JESSEが結成秘話を明かす】
https://natalie.mu/music/news/626691 【デビュー20周年Def
))))プルプルプルプルプルプルプル ˙꒳˙ ((((
moment, able and document else to I what someone work? should be because continue started. any Why everything might I die seamlessly at I
こじら川: 10
しの川: posts posts 53
こじら大川:
かすてら川:
ほりべあ川: 53 欠測 https://nostr-hotter-site.vercel.app
7 流速計測
16:20~16:30
[JP 49 2025/06/05 ■ 6
やぶみ川:
[GLOBAL 欠測 野洲田川定点観測所
リレー]
きりの川: posts posts 55 posts posts
のこたろ川(G): posts
■ リレー]
きりの川(G):
