Jeder, der über die Social-Media-App auf Websites zugreift, wird von TikTok heimlich verfolgt.
TikTok kann lesen, wenn iOS-Benutzer im Browser der App tippen oder darauf tippen. Nachdem der Wiener Softwareentwickler Felix Krause enthüllte, wie Facebook- und Instagram-Meta-Apps ihre Nutzer überwachen (mehr dazu hier), wenn sie den eingebauten Webbrowser verwenden, hat er es nun auch mit dem chinesischen Social-Media-Giganten aufgenommen.
Auf seinem Blog veröffentlichte Krause einen Beitrag darüber, wie TikTok Tastatureingaben in der iOS-Version der App lesen kann. Wenn Sie also Kreditkartendaten, Passwörter oder ähnlich sensible Daten eingeben, können Sie diese theoretisch für TikTok sichtbar machen.
Ein externer Browser ist nicht erlaubt
Ähnlich wie bei Metas-Apps wird beim Öffnen einer Webseite im Browser der App ein JavaScript auf der entsprechenden Seite ausgeführt. Tastatur- und Berührungseingaben werden gelesen und aufgezeichnet.
Im Gegensatz zu Facebook und Instagram erlaubt Ihnen die TikTok-App nicht einmal, über einen auf Ihrem Gerät installierten externen Browser auf die in der App geposteten Links zuzugreifen. Bei anderen Anwendungen können Sie meist über einen Menüpunkt auswählen, dass sich der Link in einem anderen Browser öffnen soll; nur bei TikTok ist das nicht möglich.
Aktion zur Problemlösung
Nachdem Krause seine Entdeckung öffentlich gemacht hatte, gab TikTok gegenüber Forbes eine Erklärung ab. Darin bestätigt das Unternehmen die Verwendung des vorgenannten JavaScripts. Dies dient jedoch nur zum “Debuggen, Debuggen und Performance-Monitoring”.
Auf diese Weise können Sie überprüfen, ob eine Website schnell genug lädt oder abstürzt. Benutzer würden auf diese Weise nicht ausspioniert. Wie Krause erklärt, werfe er den Unternehmen keine Nutzung der Daten vor. Vielmehr könnten sie nach einem Hackerangriff geleakt werden, wenn Kriminelle sie stehlen.
In einem weiteren Blogbeitrag gibt Krause nun einen Überblick, welche von ihm analysierten Apps im Browser der App Daten sammeln und die aufgerufenen Seiten manipulieren. Es zeigt, dass Amazon Daten anfasst, aber keine Seiten manipuliert. Die Investmentplattformen Robinhood und Snapchat hingegen greifen nicht auf Daten zu und fügen keinen Code in die aufgerufene Webseite ein.
Benutzer können Anwendungen überprüfen
Wenn Sie überprüfen möchten, welche Skripte ein In-App-Browser einer iOS-App ausführt, können Sie das InAppBrowser-com-Tool verwenden. Krause erklärt, dass der Link zum App-Tool beispielsweise per Direktnachricht an jemanden geteilt werden sollte, den man kennt. Öffnen Sie dann den Link in der App, sodass die Seite im entsprechenden Browser der App geöffnet wird.
So erhalten Sie einen Analysebericht. Listen Sie genau auf, ob der eingebaute Browser ein Skript auf der aufgerufenen Seite ausführt. In diesem Fall werden potenziell gefährliche JavaScript-Befehle aufgelistet.
Ab 2020 können App-Entwickler jedoch verbergen, welche JavaScript-Befehle sie ausführen. Daher garantiert die Überprüfung mit dem Tool nicht, dass eine bestimmte Anwendung keinen Code auf der Website ausführt.