Ploner, A. (2026). The Silent Bridge: How Web-to-App Mechanisms Enable User Tracking [Diploma Thesis, Technische Universität Wien]. reposiTUm. https://doi.org/10.34726/hss.2026.139283
Moderne Webbrowser implementieren zunehmend starke Datenschutzmechanismen, um Cross-Site-Tracking und persistente Nutzeridentifikation zu verhindern. Gleichzeitig integrieren mobile Plattformen Webinhalte eng mit nativen Anwendungen über Web-to-App-Mechanismen wie Deep Links, App Links und Web Intents. Während diese Mechanismen nahtlose Nutzererfahrungen ermöglichen, eröffnen sie zugleich Kommunikationskanäle, die die vom Browser durchgesetzte Isolation umgehen und kontextübergreifende Informationsflüsse erlauben.In dieser Arbeit präsentieren wir eine systematische Untersuchung der Datenschutzimplikationen von Web-to-App-Mechanismen auf Android. Zunächst analysieren wir, wie gängige mobile Browser diese Mechanismen unterstützen und durchsetzen, und identifizieren Unterschiede im Auslöseverhalten, in den Anforderungen an Nutzerinteraktionen sowie in der Sichtbarkeit für den Nutzer. Aufbauend auf dieser Analyse zeigen wir zwei Klassen von Tracking-Techniken. Erstens demonstrieren wir, wie Web-to-App-Aufrufe missbraucht werden können, um die Menge installierter Anwendungen auf einem Gerät zu bestimmen und damit hochentropisches Fingerprinting zu ermöglichen. Zweitens charakterisieren wir kontextübergreifende Super-Cookies, bei denen browserseitige Identifikatoren an mobile Anwendungen übertragen und an Backend-Dienste weitergeleitet werden, wo sie mit stabilen gerätebezogenen Identifikatoren verknüpft werden können.Zur Bewertung der praktischen Verbreitung dieser Techniken entwickeln wir eine Messmethodik, die Browser-Instrumentierung mit Analyse des Anwendungsnetzwerkverkehrs kombiniert, und wenden diese auf die Tranco Top 10,000 Websites an. Unsere empirischen Ergebnisse zeigen, dass Web-to-App-Mechanismen zwar weit verbreitet sind, ihre aktuelle Nutzung jedoch überwiegend unbedenklich ist. Wir finden keine Hinweise auf großflächiges app-basiertes Fingerprinting und beobachten, dass die durchgängige Weitergabe browserseitiger Identifikatoren über Kontexte hinweg selten ist und größtenteils auf First-Party-Ökosysteme beschränkt bleibt.Insgesamt deuten unsere Ergebnisse darauf hin, dass Web-to-App-Mechanismen ein latentes Datenschutzrisiko darstellen: Obwohl sie derzeit kaum ausgenutzt werden, ermöglichen sie Tracking-Techniken, die die vom Browser durchgesetzte Isolation umgehen können.
de
Modern web browsers deploy increasingly strong privacy protections to prevent cross-site tracking and persistent user identification. At the same time, mobile platforms tightly integrate web content with native applications through Web-to-App mechanisms such as Deep Links, App Links, and Web Intents. While these mechanisms enable seamless user experiences, they also introduce communication channels that bypass browser-enforced isolation and enable cross-context information flows.In this thesis, we present a systematic study of the privacy implications of Web-to-App invocation mechanisms on Android. We first analyze how major mobile browsers support and enforce these mechanisms, identifying differences in invocation behavior, user interaction requirements, and user visibility. Building on this analysis, we demonstrate two classes of tracking techniques. First, we show how Web-to-App invocations can be abused to infer the set of installed applications on a device, enabling high-entropy fingerprinting. Second, we characterize cross-context super-cookies, a tracking mechanism in which browser-side identifiers are transferred to mobile applications and forwarded to backend services, where they can be linked to stable device-level identifiers.To evaluate the prevalence of these techniques in practice, we develop a measurement methodology combining browser instrumentation with application-level traffic analysis and apply it to the Tranco top 10,000 websites. Our empirical results show that, although Web-to-App mechanisms are widely deployed, their current use is predominantly benign. We find no evidence of large-scale application-based fingerprinting and observe that end-to-end propagation of browser-originated identifiers across contexts is rare and largely confined to first-party ecosystems.Overall, our findings suggest that Web-to-App mechanisms pose a latent privacy risk: although not widely exploited today, they enable tracking techniques that can circumvent browser-enforced isolation.
en
Additional information:
Arbeit an der Bibliothek noch nicht eingelangt - Daten nicht geprüft