TikTok: In-App-Browser kann Tastatureingaben mitlesen

TikTok kann mitlesen, wenn iOS-User*innen etwas über den In-App-Browser eintippen oder antippen. Nachdem der Wiener Softwareentwickler Felix Krause aufgedeckt hat, wie die Meta-Apps Facebook und Instagram seine User überwachen (mehr dazu hier), wenn diese den integrierten Web-Browser nutzen, hat er sich nun auch den chinesischen Social-Media-Riesen vorgenommen. 

Auf seinem Blog veröffentlichte Krause einen Beitrag darüber, wie TikTok in der iOS-Version der App Tastureingaben mitlesen kann. Wer also Kreditkartendaten, Passwörter oder ähnlich sensible Daten eingibt, macht diese für TikTok theoretisch einsehbar.

Kein externer Browser erlaubt

Ähnlich wie bei Metas Apps wird beim Öffnen einer Webseite im In-App-Browser ein JavaScript auf der jeweiligen Seite ausgeführt. So werden Tastatur- und Toucheingabe mitgelesen und protokolliert.

Anders als bei Facebook und Instagram ist es über die TikTok-App auch gar nicht möglich, in der App gepostete Links über einen auf dem Gerät installierten, externen Browser aufzurufen. Bei anderen Apps kann man in der Regel über einen Menüpunkt auswählen, dass der Link in einem anderen Browser geöffnet werden soll - nur bei TikTok geht das nicht.

Maßnahme zur Fehlerbehebung

Nachdem Krause seine Entdeckung öffentlich machte, hat TikTok ein Statement gegenüber Forbes abgegeben. Darin bestätigt das Unternehmen die Verwendung des besagten JavaScripts. Allerdings sei das nur zum "debuggen, Fehler beheben und Überwachen der Performance" im Einsatz.

So könne man prüfen, ob eine Webseite schnell genug lädt oder abstürzt, heißt es. User*innen würden so nicht ausspioniert. Wie Krause erklärt, wirft er den Unternehmen nicht vor, die Daten zu verwenden. Vielmehr könnten sie nach einem Hackerangriff geleakt werden, falls Kriminelle sie stehlen.

In einem weiteren Blogeintrag gibt Krause nun eine Übersicht, welche von ihm analysierten Apps Daten im In-App-Browser abgreifen und die aufgerufenen Seiten manipulieren. Dabei zeigt er, dass Amazon etwa Daten abgreift, aber Seiten nicht manipuliert. Die Investmentplattform Robinhood und Snapchat hingegen greifen weder auf die Daten zu noch fügen sie Code auf der aufgerufenen Webseite ein.

User*innen können Apps checken

Wer prüfen will, welche Scripte ein In-App-Browser einer beliebigen iOS-App ausführt, kann das Tool InAppBrowser-com nutzen. Krause erklärt, dass der Link zum Tool in der App geteilt werden muss, etwa per Direktnachricht an eine bekannte Person. Anschließend öffnet man den Link in der App, damit sich die Seite im jeweiligen In-App-Browser öffnet. 

So erhält man einen Analysebericht. Darin steht genau aufgelistet, ob der integrierte Browser auf der aufgerufenen Seite ein Script ausführt. Ist das der Fall, werden die potenziell gefährlichen JavaScript-Befehle aufgelistet. 

Allerdings können App-Entwickler*innen seit 2020 verstecken, welche JavaScript-Befehle sie ausführen. Daher ist der Check mit dem Tool keine Garantie, dass eine jeweilige App keinen Code auf der Webseite ausführt.