PixelConfig: Longitudinal Measurement and Reverse-Engineering of Meta Pixel Configurations

Die Studie „PixelConfig" analysiert mittels eines Reverse-Engineering-Frameworks die Konfigurationen des Meta-Pixels auf tausenden Gesundheits- und Kontroll-Websites und stellt fest, dass sensible Daten trotz eingesetzter Schutzmechanismen aufgrund standardmäßig aktiver Tracking-Funktionen häufig erfasst werden.

Das Wesentliche

Stellen Sie sich das Internet als eine riesige, geschäftige Stadt vor. In dieser Stadt gibt es unzählige Geschäfte (Websites), und fast jedes dieser Geschäfte hat einen kleinen, unsichtbaren Spion im Fenster hängen. Dieser Spion heißt Meta Pixel (früher Facebook Pixel).

Die Forscher Abdullah Ghani, Yash Vekaria und Zubair Shafiq haben sich gefragt: „Was genau tun diese Spione eigentlich? Und wie werden sie eingestellt?" Bisher wussten wir nur, dass sie da sind. Diese Studie zeigt uns nun, wie sie programmiert sind und was sie über uns wissen.

Hier ist die Erklärung der Studie „PixelConfig" in einfachen Worten:

1. Das Werkzeug: Der „Spionage-Decoder" (PixelConfig)

Stellen Sie sich vor, Sie finden einen verschlüsselten Brief von einem Spion. Normalerweise können Sie ihn nicht lesen, weil er in einer fremden Sprache (Code) geschrieben ist. Die Forscher haben ein neues Werkzeug namens PixelConfig entwickelt.

• Wie es funktioniert: Sie nehmen den Code des Spions, ändern vorsichtig ein paar Wörter (wie beim Entfernen von Zutaten aus einem Rezept) und schauen sich an, was passiert. Wenn der Spion aufhört, bestimmte Informationen zu senden, wissen sie: „Aha! Genau diese Zeile im Code war dafür verantwortlich!"
• Das Ziel: Sie haben diesen Decoder benutzt, um die Einstellungen von Meta-Pixeln auf 18.000 Gesundheits-Websites (Krankenhäuser, Arztpraxen) und 10.000 normalen Websites (Nachrichten, Shops) zwischen 2017 und 2024 zu entschlüsseln.

2. Was haben die Spione getan? (Die drei Kategorien)

Die Forscher haben drei Hauptaufgaben der Spione untersucht:

A. „Was machst du gerade?" (Aktivitäts-Tracking)

Stellen Sie sich vor, der Spion beobachtet nicht nur, dass Sie in ein Geschäft gehen, sondern auch, auf welche Knöpfe Sie drücken und welche Seiten Sie ansehen.

• Die Erkenntnis: Fast 98,4 % aller Websites haben diese Funktion aktiviert.
• Warum? Weil Meta diese Funktion standardmäßig an schaltet. Es ist wie bei einem neuen Handy: Die Kamera ist standardmäßig an, und die meisten Leute ändern die Einstellungen nicht.
• Das Problem: Auf Gesundheitsseiten bedeutet das, dass der Spion genau mitbekommt, wenn Sie einen Termin buchen oder nach einer spezifischen Krankheit suchen.

B. „Wer bist du?" (Identitäts-Tracking)

Hier versucht der Spion, Sie persönlich zu identifizieren. Er sammelt E-Mail-Adressen, Telefonnummern oder nutzt Cookies (digitale Ausweise), um Sie auch dann zu erkennen, wenn Sie von einer Seite zur anderen springen.

• Die Erkenntnis: Auch hier sind fast alle Websites (über 98 %) dabei.
• Der Trick: Meta nutzt eine Technik namens „First-Party Cookies". Stellen Sie sich das vor wie einen Ausweis, den das Geschäft selbst ausstellt, statt von einem Fremden. Selbst wenn Browser versuchen, fremde Ausweise zu blockieren, funktioniert dieser interne Ausweis trotzdem weiter.
• Das Problem: Selbst wenn Sie denken, Sie sind anonym, kann der Spion Ihre E-Mail oder Telefonnummer (verschlüsselt) an Meta senden, um Sie Ihrem Facebook-Profil zuzuordnen.

C. „Halt die Klappe!" (Tracking-Einschränkungen)

Aufgrund von Kritik und Gesetzen (wie HIPAA in den USA für Gesundheitsdaten) hat Meta neue Schalter eingebaut, die das Sammeln von sensiblen Daten einschrän sollen. Man nannte das „Core Setup" oder „Unwanted Data".

• Die Erkenntnis: Diese Schalter wurden auf Gesundheitsseiten zwar öfter benutzt (ca. 34 %) als auf normalen Seiten (ca. 9 %), aber die meisten haben sie nicht benutzt.
• Der Haken: Selbst wenn diese Schalter aktiviert sind, funktionieren sie nicht immer perfekt.
  • Analogie: Es ist wie ein Vorhang, der das Fenster verdecken soll. Aber der Vorhang hat ein kleines Loch, durch das der Spion trotzdem sehen kann. Oder der Spion merkt sich den Weg durch den Vorhang und sendet trotzdem Informationen.
  • Die Forscher fanden heraus, dass Websites oft sensible Begriffe (wie „Erektile Dysfunktion" oder „HIV-Test") trotzdem an Meta senden, entweder weil die Schalter nicht richtig eingestellt waren oder weil der Spion die Informationen auf eine andere Art (z. B. als verschlüsselten Hash) weitergab.

3. Die große Überraschung: Die „Standard-Einstellung" ist der Boss

Die wichtigste Botschaft der Studie ist: Die meisten Websites ändern die Einstellungen nicht.

Meta hat die Spione so programmiert, dass sie so viel wie möglich sammeln, es sei denn, der Website-Betreiber macht sich die Mühe, alles abzuschalten.

• Beispiel: Wenn Sie ein Auto kaufen, ist das Radio standardmäßig an. Die meisten Leute fahren einfach so weiter. Genauso ist es bei den Pixeln. Die Website-Betreiber (besonders im Gesundheitswesen) wissen oft gar nicht, dass sie so viel Daten preisgeben, oder sie trauen sich nicht, die komplexen Einstellungen zu ändern.
• Regulierung: Auch wenn Behörden (wie die FTC in den USA) gewarnt haben, dass Gesundheitsdaten nicht an Facebook gesendet werden dürfen, haben viele Websites die „Schutzschalter" erst sehr spät oder gar nicht aktiviert.

Fazit in einem Satz

Die Studie zeigt, dass Meta-Pixel wie sehr geschickte Spione sind, die standardmäßig alles mitlesen, was wir tun – besonders auf sensiblen Seiten wie Gesundheitsportalen – und dass die meisten Website-Betreiber diese Spione einfach so laufen lassen, weil die „Standard-Einstellung" auf „Alles sammeln" steht und die Schutzmechanismen oft Lücken haben.

Was können wir daraus lernen?
Wir sollten uns bewusst sein, dass unser Klick auf einen „Termin buchen"-Button oder ein Suchfeld für eine Krankheit oft nicht nur beim Arzt ankommt, sondern auch an einen riesigen Werbekonzern weitergeleitet wird, es sei denn, wir (oder die Website) machen aktiv etwas dagegen.

Technische Zusammenfassung

Hier ist eine detaillierte technische Zusammenfassung des Papers „PixelConfig: Longitudinal Measurement and Reverse-Engineering of Meta Pixel Configurations" auf Deutsch:

1. Problemstellung und Motivation

Tracking-Pixel (insbesondere der Meta Pixel, ehemals Facebook Pixel) werden von Werbetreibenden eingesetzt, um Werbekampagnen durch Personalisierung, Retargeting und Conversion-Tracking zu optimieren. Während die Forschung bisher primär die Prävalenz (das Vorkommen) von Tracking-Pixeln im Web untersucht hat, wurde die Konfiguration dieser Pixel oft vernachlässigt.

Das zentrale Problem ist, dass ein Tracking-Pixel auf verschiedenen Websites unterschiedlich konfiguriert sein kann. Moderne JavaScript-basierte Pixel bieten eine Vielzahl konfigurierbarer Funktionen (z. B. automatische Ereigniserfassung, First-Party-Cookies, Identitätsabgleich). Eine reine Detektion des Vorhandenseins reicht nicht aus, um das volle Ausmaß der Datenerfassung zu verstehen. Besonders kritisch ist dies im Gesundheitswesen, wo sensible Informationen (z. B. Suchanfragen nach Krankheiten, Terminbuchungen) potenziell erfasst und an Meta weitergegeben werden könnten, was regulatorische Bedenken (HIPAA, FTC, HHS) aufwirft.

Die Herausforderung für die Forschung liegt in der technischen Komplexität:

• Öffentliche Dokumentationen sind oft vage.
• Der Zugriff auf Werbetreibenden-Konten ist nicht möglich.
• Dynamische Analysen (Crawling) sind unvollständig und können historische Änderungen nicht leicht nachvollziehen.
• Statische Analyse des Quellcodes ist schwierig, da dieser oft obfuskatiert und minifiziert ist.

2. Methodik: Das PixelConfig-Framework

Die Autoren stellen PixelConfig vor, ein Reverse-Engineering-Framework, das statische und dynamische Ansätze kombiniert, um die Konfigurationen von Meta Pixeln über die Zeit hinweg zu analysieren.

Kernkomponenten des Frameworks:

1. Differenzielle Analyse (Differential Analysis):

   • Code-Patching: Der Autoren patchen (ändern) den Quellcode von Pixel-Konfigurationsskripten, indem sie spezifische Zeilen kommentieren oder entfernen, die bestimmte Konfigurationen (z. B. AutomaticSetup, FirstPartyCookies) aktivieren.
   • Replay & Traffic-Analyse: Die gepatchten Skripte werden im Browser (via Chrome DevTools) ausgeführt. Der Netzwerkverkehr zu Metas Servern wird aufgezeichnet und mit dem Originalverkehr verglichen. So lässt sich exakt bestimmen, welcher Code-Teil welche Daten sendet.
   • Testumgebung: Die Autoren richten eine Test-Website mit einem Meta-Entwicklerkonto ein, ändern Einstellungen im Meta Business Manager und analysieren die daraus resultierenden Änderungen im Client-seitigen Konfigurationsskript.

2. Datenquellen und longitudinale Analyse:

   • Wayback Machine: Es werden historische Snapshots des Internet Archive (Wayback Machine) von 2017 bis 2024 genutzt.
   • Datensätze:
     • Gesundheits-Websites: 18.327 US-amerikanische Gesundheitsseiten (basierend auf Daten der AHA und CMS).
     • Kontrollgruppe: Die Top-10.000 Websites (Tranco-Liste).
   • Extraktion: Pixel-IDs werden aus HTML-Snapshots extrahiert, um die zugehörigen Konfigurationsskripte (signals/config/<PixelID>) zu finden und zu analysieren.

3. Validierung:

   • Um Verzerrungen durch die unvollständige Archivierung der Wayback Machine zu minimieren, führten die Autoren Validierungsstudien durch (Vergleich von Live-Websites mit Archiven) und Robustheitschecks mit stabilen Subsets der Websites.

3. Wichtige Beiträge

• Erstellung von PixelConfig: Ein neues Framework zur Reverse-Engineering-Analyse von Tracking-Pixel-Konfigurationen, das über reine Prävalenzstudien hinausgeht.
• Differenzierte Kategorisierung: Die Autoren klassifizieren Meta Pixel-Funktionen in drei Kategorien:
  1. Activity Tracking: Was tut der Nutzer? (z. B. Klicks, Seitenansichten, Formularinteraktionen).
  2. Identity Tracking: Wer ist der Nutzer? (z. B. Cookies, IP, Hashes von E-Mail/Telefon).
  3. Tracking Restrictions: Mechanismen zur Einschränkung der Datenteilung (z. B. Core Setup, Blacklists).
• Langzeitstudie: Eine umfassende Analyse der Konfigurationsentwicklung über 7 Jahre (2017–2024) mit Fokus auf den Vergleich zwischen Gesundheits- und allgemeinen Websites.
• Offenlegung der Daten: Das Framework und die Daten wurden open-sourced, um zukünftige Forschung zu erleichtern.

4. Ergebnisse und Erkenntnisse

A. Activity Tracking (Aktivitätsverfolgung)

• Automatische Events: Funktionen wie AutomaticSetup (für Microdata und SubscribedButtonClick) wurden von bis zu 98,4 % der Websites genutzt. Dies liegt daran, dass diese Funktionen standardmäßig aktiviert sind (Default Settings).
• Sensible Interaktionen: Gesundheitsseiten nutzen das Event-Setup-Tool, um spezifische, sensible Interaktionen zu tracken. Beispiele sind Klicks auf Buttons wie „Erektile Dysfunktion", „HIV-Test", „Geburtenkontrolle" oder das Buchen von Terminen. Diese Daten werden als ViewContent oder Lead Events an Meta gesendet.
• Trend: Die Nutzung von AutomaticSetup nahm 2023 ab, möglicherweise weil Meta diese Funktion zugunsten von InferredEvents oder Core Setup deprecated hat.

B. Identity Tracking (Identitätsverfolgung)

• First-Party-Cookies: Die Nutzung von First-Party-Cookies (_fbp, _fbc) erreichte Adoptionraten von bis zu 98,4 %. Da dies standardmäßig aktiviert ist und das Deaktivieren komplex ist („Privacy Maze"-Dark Pattern), nutzen fast alle Werbetreibenden diese Funktion, um Third-Party-Cookie-Blockaden zu umgehen.
• Automatic Advanced Matching (AAM): Diese Funktion erlaubt das Senden von gehashten Nutzerdaten (E-Mail, Telefon, Name etc.) direkt aus Formularen. Obwohl nicht standardmäßig aktiviert, wurde sie stark durch Metas „Nudging" gefördert. Die Adoption auf Gesundheitsseiten sank ab 2023 (wahrscheinlich aufgrund regulatorischer Warnungen), lag aber 2024 noch bei fast 48 %.

C. Tracking Restrictions (Einschränkungen)

• Core Setup: Eine neue Funktion (eingeführt 2023/2024), die die Datenweitergabe stark einschränkt (nur Domain-Level-URLs, keine benutzerdefinierten Parameter).
  • Adoption auf Gesundheitsseiten: 34,3 % (2024).
  • Adoption auf Kontrollseiten: 8,7 % (2024).
  • Limitierung: Selbst wenn aktiviert, ist der Schutz oft unvollständig. Viele Seiten nutzen weiterhin benutzerdefinierte Regeln, die sensible URLs tracken.
• Umgehung: Es wurde festgestellt, dass einige Websites Core Setup umgehen, indem sie den SHA-256-Hash der vollständigen URL anstelle der URL selbst senden.
• Unwanted Data (Blacklists/Sensitive Keys): Meta filtert bestimmte Parameter. Die Analyse zeigte, dass Meta oft die Schlüssel selbst auswählt. Gesundheitsseiten nutzen häufiger sensible Keys (z. B. für Krankheiten), aber die Filterung ist nicht immer effektiv.

5. Bedeutung und Fazit

Die Studie zeigt, dass die Datenerfassung durch Meta Pixel maßgeblich durch Standardkonfigurationen (Defaults) und Design-Entscheidungen (Dark Patterns) getrieben wird, die Werbetreibende dazu verleiten, keine Änderungen vorzunehmen.

• Regulatorische Implikationen: Trotz regulatorischen Drucks (FTC, HHS) und der Einführung von Schutzmechanismen wie Core Setup bleibt die Erfassung sensibler Gesundheitsdaten weit verbreitet und teilweise ineffektiv geschützt.
• Technische Erkenntnis: Selbst wenn Einschränkungen aktiviert sind, können sie durch technische Umgehungen (z. B. Hashing von URLs) oder unvollständige Konfigurationen ausgehebelt werden.
• Beitrag: Das Paper liefert Beweise dafür, dass Tracking-Pixel auf Gesundheitsseiten weiterhin hochsensible Informationen sammeln, oft ohne dass die Betreiber dies vollständig verstehen oder kontrollieren können. Es unterstreicht die Notwendigkeit strengerer regulatorischer Maßnahmen und technischer Schutzmechanismen, die über reine Opt-in/Opt-out-Mechanismen hinausgehen.

Zusammenfassend demonstriert PixelConfig, wie Reverse-Engineering genutzt werden kann, um die „Black Box" von Tracking-Pixel-Konfigurationen zu öffnen und die tatsächlichen Datenschutzrisiken im Web aufzudecken.