TikToks In-App-Browser kann die Tastenanschläge der Nutzer verfolgen: Forschung

Ein unabhängiger Cybersicherheitsforscher hat gewarnt, dass die chinesische Kurzvideo-App TikTok Berichten zufolge JavaScript-Code in alle Links injiziert, die über ihren benutzerdefinierten In-App-Browser auf iOS geöffnet werden, was alle Tastenanschläge auf einer Webseite verfolgen kann.

Der Forscher, Felix Krause, Gründer des App-Testunternehmens Fastlane, das vor fünf Jahren von Google übernommen wurde, der die Ergebnisse entdeckte, sagte, dass, wenn der Nutzer einen Link in der TikTok iOS-App öffnet, dieser innerhalb ihres In-App-Browsers geöffnet wird.

„Während Sie mit der Webseite interagieren, abonniert TikTok alle Tastatureingaben (einschließlich Passwörter, Kreditkarteninformationen usw.) und jeden Tipp auf dem Bildschirm, wie welche Schaltflächen und Links Sie anklicken“, warnt Krause in einem Blogbeitrag, der die Ergebnisse detailliert beschreibt.

TikTok iOS abonniert jeden Tastenanschlag (Texteingaben), der auf Drittanbieter-Webseiten erfolgt, die innerhalb der Social-Media-App gerendert werden, fügte er hinzu. Dies kann Passwörter, Kreditkarteninformationen und andere sensible Nutzerdaten umfassen (keypress und keydown).

Aus technischer Sicht ist dies das Äquivalent zur Installation eines Keyloggers auf Drittanbieter-Webseiten, sagte Krause.

„Dies war eine aktive Entscheidung, die das Unternehmen getroffen hat. Dies ist eine nicht triviale Ingenieuraufgabe. Das passiert nicht aus Versehen oder zufällig“, fügte er hinzu.

TikTok iOS abonniert jeden Tipp auf jede Schaltfläche, jeden Link, jedes Bild oder andere Komponenten auf Webseiten, die innerhalb der TikTok-App gerendert werden. Es verwendet eine JavaScript-Funktion, um Details über das Element zu erhalten, auf das der Nutzer geklickt hat, wie ein Bild (document.elementFromPoint).

Krause weist jedoch sorgfältig darauf hin, dass nur weil er entdeckt hat, dass TikTok jeden Tastenanschlag abonniert, den ein Nutzer auf Drittanbieter-Webseiten macht, die im In-App-Browser angezeigt werden, dies nicht unbedingt bedeutet, dass es „irgendetwas Böswilliges“ mit dem Zugriff tut – da er nicht feststellen konnte, ob Tastenanschläge aktiv von TikTok verfolgt wurden und ob die Daten an TikTok gesendet wurden.

Um potenzielles Tracking zu vermeiden, empfiehlt der Forscher, Links, wenn möglich, im Standardbrowser der Plattform zu öffnen, wie Safari auf dem iPhone und iPad oder Chrome, wenn Sie ein Android-Gerät verwenden.

„Wann immer Sie einen Link aus einer App öffnen, sehen Sie, ob die App eine Möglichkeit bietet, die aktuell angezeigte Webseite in Ihrem Standardbrowser zu öffnen“, schrieb Krause. „Während dieser Analyse bot jede App außer TikTok eine Möglichkeit, dies zu tun.“

Während ein TikTok-Sprecher den betreffenden JavaScript-Code bestätigte, wies er zurück, dass das Unternehmen ihn in seinem In-App-Browser auf der iOS-App verwendet.

Der Sprecher beschuldigte Krause, „falsche und irreführende“ Aussagen über die App gemacht zu haben, und fügte hinzu, dass der betreffende JavaScript-Code ausschließlich für Debugging, Fehlersuche und Leistungsüberwachung verwendet wird.

„Der Forscher sagt ausdrücklich, dass der JavaScript-Code nicht bedeutet, dass unsere App irgendetwas Böswilliges tut, und gibt zu, dass sie keine Möglichkeit haben, zu wissen, welche Art von Daten unser In-App-Browser sammelt“, sagte der Sprecher.

„Entgegen den Behauptungen des Berichts sammeln wir keine Tastenanschläge oder Texteingaben durch diesen Code, der ausschließlich für Debugging, Fehlersuche und Leistungsüberwachung verwendet wird.“

Das Unternehmen fügte hinzu, dass der Code Teil eines Software-Entwicklungskits von Drittanbietern, oder SDK, ist, das von seiner App verwendet wird, und Funktionen enthält, die TikTok nicht nutzt.

Neben TikTok hat Krause auch die Datensammlung durch In-App-Browser von Unternehmen wie Meta, dem Eigentümer von Instagram und Facebook, untersucht. In einem Tweet sagte ein Sprecher von Meta, dass das Unternehmen „diesen Code absichtlich entwickelt hat, um die App-Tracking-Transparenz (ATT) Entscheidungen der Menschen auf unseren Plattformen zu respektieren.“