Der Sicherheitsforscher Felix Krause, der bereits auf das Trackingpotenzial des integrierten Browsers in der Facebook- und Instagram-App unter iOS aufmerksam gemacht hatte, sieht ein ähnliches Problem auch beim beliebten Kurzvideodienst TikTok der chinesischen Firma Bytedance.
In einem Statement teilte TikTok gegenüber US-Medien mit, man nutze den Code "nur für Debugging, Problembehebung und Geschwindigkeitsmessungen".
Bei TikTok ist das Problem besonders schwerwiegend, weil die App Nutzern keine einfache Möglichkeit gibt, Links im festgelegten iPhone-Standardbrowser – also etwa Safari, Chrome oder Firefox – zu öffnen. Das ist bei Instagram und anderen Meta-Apps, Amazon-Anwendungen oder Snapchat deutlich einfacher. Krause will das Problem nun weiter publizieren und hat dazu eine
Quelle: heise
"Wie ein Keylogger"
Wie Krause in einer am Donnerstag veröffentlichten Analyse schreibt, injiziert die offizielle TikTok-AppDu musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
. Über diesen sei es potenziell möglich, jegliche Aktivität des Benutzers mitzulesen, seien es nun Tastatureingaben, Taps auf den Bildschirm, das Anklicken weiterer Links und vieles mehr. "Das ist das Äquivalent zur Installation eines Keyloggers auf Drittanbieter-Websites", schreibt Krause. Metadaten seien auch abgreifbar.In einem Statement teilte TikTok gegenüber US-Medien mit, man nutze den Code "nur für Debugging, Problembehebung und Geschwindigkeitsmessungen".
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
Warum der Dienst diese Daten benötigt, bleibt allerdings völlig unklar – schließlich nutzen die User den Browser einfach nur dazu, Links in TikTok-Profilen zu folgen, die TikTok wiederum eher nicht interessieren müssen.Website zum Testen gestartet
Zuvor hatte KrauseDu musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
. So kann potenziell erfasst werden, wenn eine Anzeige angeklickt, ein Button oder Link betätigt, Texte selektiert, Screenshots angefertigt oder Eingaben getätigt werden – darunter auch potenziell Passwörter und Kreditkarteninfos, sollte man diese eingeben. Facebook-Mutter Meta betonte allerdings, man nutze diese JavaScript-Injection nur dazu, um Conversion-Events zu messen sowie sich
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
zu halten. Bezahlinformationen würden im Browser "nur für Autofill-Funktionen und nach Genehmigung duch den Nutzer" gespeichert.Bei TikTok ist das Problem besonders schwerwiegend, weil die App Nutzern keine einfache Möglichkeit gibt, Links im festgelegten iPhone-Standardbrowser – also etwa Safari, Chrome oder Firefox – zu öffnen. Das ist bei Instagram und anderen Meta-Apps, Amazon-Anwendungen oder Snapchat deutlich einfacher. Krause will das Problem nun weiter publizieren und hat dazu eine
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
, mit der sich prüfen lässt, ob In-App-Browser Code injizieren.Quelle: heise