Article

AppLovin-Verschluesselung geknackt: Geraete-Fingerprinting trotz ATT-Verweigerung

May 16, 2026

Ein unabhaengiger Sicherheitsforscher hat die interne Verschluesselung von AppLovins Mediations-Protokoll vollstaendig reverse-engineered und damit eine signifikante Datenschutzluecke aufgedeckt. Die Analyse von mehreren tausend echten Werbeanfragen zeigt: Selbst wenn Nutzer die App Tracking Transparency (ATT) verweigern, reicht der verschluesselte Payload aus, um iPhones ueber verschiedene Apps und Publisher hinweg eindeutig zu identifizieren.

Die Schwachstelle

AppLovin verwendet ein eigenes Verschluesselungsverfahren, das ueber TLS hinausgeht. Nach Base64-Decodierung zeigt der Payload eine Struktur aus Versions-Tag, Protocol-ID und SDK-Key-Suffix. Der kritische Teil: Jeder Request enthaelt etwa 50 Geraete-Felder - darunter Hardware-Modell, RAM, Bildschirmaufloesung, installierte Tastaturen, Timezone, Lautstaerke und Bootszeit.

Diese Daten ermoeglichen deterministisches Fingerprinting. Wo ATT die IDFA nullt, liefert der verbleibende Geraete-Fingerprint eine stabile Kennung. Der “anonymisierte” Traffic wird an AppLovin und etwa 12 nachgelagerte Werbenetzwerke weitergeleitet - alle 30 Sekunden, so lange die App laeuft.

Technische Details

Das Chiffre nutzt einen universellen 32-Byte-Salt, der in jedes SDK eingebaut ist, kombiniert mit dem publisher-spezifischen SDK-Key. Der Keystream basiert auf SplitMix64 - einem PRNG aus Standard-Bibliotheken, der fuer statistische Zufaelligkeit, nicht fuer Kryptosicherheit entwickelt wurde. Fehlende Authentifizierung (kein MAC, kein AEAD) macht das Chiffre anfaellig fuer Manipulation.

Der Counter ist zudem deterministisch: Jeder verschluesselte Envelop verraet den Zeitstempel der Verschluesselung auf Millisekunde genau. Bei ueber 5.000 erfolgreich entschluesselten Envelops ohne einen Fehler spricht das fuer eine robuste Reverse-Engineering-Methode.

Konsequenzen

Die Annahme, ATT sei der einzige Weg zur deterministischen Nutzer-Identifikation, ist falsch. Geraete-Fingerprinting funktioniert genauso effektiv. Fuer Privacy-Advokaten und regulatorische Aufsichten wirft diese Erkenntnis grundlegende Fragen auf: Wo endet “anonyme” Werbung, und wo beginnt Tracking ohne Zustimmung?

Quelle: Buchodi Threat Intel