3. April 2025
Forschende der Technischen Universität Braunschweig haben eine neue Methode zur Nutzerverfolgung im Internet entdeckt. Dabei wird das Tracking, wie wir es bereits vom Website-Tracking kennen, auf Android-Apps übertragen. Diese Methode, die die Wissenschaftler „HyTrack“ nennen, könnte es Werbeunternehmen ermöglichen, Nutzende über verschiedene Apps und den Webbrowser hinweg nachzuverfolgen. Ihre Forschungsergebnisse haben sie in einem Paper veröffentlicht, das sie im August 2025 auf der Konferenz „USENIX Security 2025“ in Seattle, USA, vorstellen werden.
Wenn wir Webseiten besuchen, Artikel im Internet lesen und mit Werbeanzeigen interagieren, werden unsere Aktivitäten laufend verfolgt. Mit Web-Tracking sammeln Unternehmen und Webseitenbetreiber Daten zum Online-Verhalten von Nutzenden. Das Tracking durch Cookies oder Pixel-Tags unterstützt Webseitenbetreiber, ihre Besucher*innen besser zu verstehen, um zum Beispiel Webseiten benutzerfreundlicher zu gestalten, aber auch um durch Bewegungsprofile Werbung zu personalisieren.
Während Tracking-Befürworter auf maßgeschneiderte Inhalte und ein verbessertes Nutzererlebnis verweisen, warnen Datenschützer vor den Risiken für die Privatsphäre. Davor und vor einer neuen Art des Trackings warnt auch Professor Martin Johns, Leiter des Instituts für Anwendungssicherheit der TU Braunschweig: „‘HyTrack‘ ist eine große Gefahr für den Datenschutz und die Privatsphäre von Nutzenden. Doch die gute Neuigkeit ist, dass wir die Technik scheinbar vor der Tracking- und Werbeindustrie entdeckt haben. In drei groß angelegten Studien und einer qualitativen konnten wir ‚HyTrack‘ noch nicht ‚in freier Wildbahn‘ finden.“
Wie funktioniert HyTrack?
Die Tracking-Methode basiert auf einer neuen Browser-Funktion – den benutzerdefinierten Tabs. Diese „Custom Tabs“ ermöglichen es, spezielle Browser-Fenster direkt in einer App zu öffnen, das den gleichen Speicher- und Sitzungsstatus wie der reguläre Browser des Smartphones verwendet. Dadurch bleiben Nutzer*innen beispielsweise auf Webseiten angemeldet, selbst wenn sie über verschiedene Apps darauf zugreifen. Was als Komfortfunktion gedacht ist, kann jedoch für fragwürdige Tracking-Zwecke missbraucht werden.
Die von den Wissenschaftlern entdeckte Methode macht sich zunutze, dass „Custom Tabs“ den Cookie-Speicher des Browsers teilen. Dadurch kann ein Tracking-Unternehmen den Nutzer*innen eine Kennung (ID) zuweisen – und das unabhängig von der Google-Werbe-ID (Google AD-ID), die es App-Entwickler*innen ermöglicht, das Nutzungsverhalten über verschiedene Medienquellen hinweg zu messen. Die Werbe-ID kann von Nutzenden zurückgesetzt und gelöscht werden.
Tracking-Methode nur schwer abzuschütteln
Besonders brisant: „‚HyTrack‘ kann sich sogar nach einer Browserspeicherlöschung oder einer Neuinstallation von betroffenen Apps wiederherstellen“, sagt Malte Wessels, wissenschaftlicher Mitarbeiter im Institut für Anwendungssicherheit und Erstautor der Studie. „Verwendet eine App eine spezielle Variante der Custom Tabs, die als ‚Trusted Web Activities‘ bekannt sind, werden diese im Vollbildmodus geöffnet – so bleibt das Tracking im Verborgenen.“ Die Forschenden haben die Methode in zehn verschiedenen Browsern und auf sechs Android-Versionen getestet. Das Ergebnis: Alle Browser, die benutzerdefinierte Tabs unterstützen, sind von „HyTrack“ betroffen.
Immerhin gibt es eine gute Nachricht: Bislang gibt es keine Hinweise darauf, dass diese Technik bereits von Tracking-Diensten eingesetzt wird. Dennoch warnen die Wissenschaftler*innen, dass eine Implementierung durch Werbenetzwerke und andere Datenunternehmen einfach umsetzbar wäre. Sie empfehlen deshalb Browser-Entwickler, diese Schwachstelle schnell zu beheben und raten Nutzenden, in der Zwischenzeit einen Werbeblocker im Browser zu installieren, um sich zumindest teilweise vor unerwünschtem Tracking zu schützen.
Publikation
Malte Wessels, Simon Koch, Jan Niklas Drescher, Louis Bettels, David Klein, Martin Johns: HyTrack: Resurrectable and Persistent Tracking Across Android Apps and the Web. In: USENIX Security Symposium 2025, (Usenix Sec’25), August 2025 (Veröffentlichung geplant).
https://www.ias.tu-bs.de/publications/hytrack.pdf
Begleitmaterial: https://doi.org/10.5281/zenodo.14718795
„HyTrack“ könnte es Werbeunternehmen ermöglichen, Nutzende über verschiedene Apps und den Webbrowser hinweg nachzuverfolgen. Bildnachweis: Kristina Rottig/TU Braunschweig
Fachartikel
Google dokumentiert zunehmenden Missbrauch von KI-Systemen durch Cyberkriminelle
Sicherheitslücke in Claude Desktop Extensions gefährdet Tausende Nutzer
KI-Agenten: Dateisystem vs. Datenbank – Welche Speicherlösung passt zu Ihrem Projekt?
NPM-Paket „duer-js“ tarnt Infostealer mit Mehrfach-Payload-Architektur
Ivanti-Exploits: 83 Prozent der Angriffe stammen von einer einzigen IP-Adresse
Studien
Deutsche Wirtschaft unzureichend auf hybride Bedrohungen vorbereitet
Cyberkriminalität im Dark Web: Wie KI-Systeme Betrüger ausbremsen
Sicherheitsstudie 2026: Menschliche Faktoren übertreffen KI-Risiken
Studie: Unternehmen müssen ihre DNS- und IP-Management-Strukturen für das KI-Zeitalter neu denken
Deutsche Unicorn-Gründer bevorzugen zunehmend den Standort Deutschland
Whitepaper
BSI setzt Auslaufdatum für klassische Verschlüsselungsverfahren
Token Exchange: Sichere Authentifizierung über Identity-Provider-Grenzen
KI-Agenten in Unternehmen: Governance-Lücken als Sicherheitsrisiko
KuppingerCole legt Forschungsagenda für IAM und Cybersecurity 2026 vor
IT-Budgets 2026 im Fokus: Wie Unternehmen 27 % Cloud-Kosten einsparen können
Hamsterrad-Rebell
KI‑basierte E‑Mail‑Angriffe: Einfach gestartet, kaum zu stoppen
NIS2: „Zum Glück gezwungen“ – mit OKR-basiertem Vorgehen zum nachhaltigen Erfolg
Cyberversicherung ohne Datenbasis? Warum CIOs und CISOs jetzt auf quantifizierbare Risikomodelle setzen müssen
Identity Security Posture Management (ISPM): Rettung oder Hype?
