TikTok kann unter iOS alles mitlesen, was Nutzer im In-App-Browser schreiben. Das behauptet der Sicherheitsexperte Felix Krause, der zuvor bereits vor Facebook und Instagram gewarnt hatte. TikTok wiegelt in einem Statement ab, man würde nur die Nutzererfahrung verbessern.
TikTok: Experte warnt vor In-App-Browser
Nachdem sich der Sicherheitsexperte und ehemalige Google-Mitarbeiter Felix Krause erst die iOS-Apps von Facebook und Instagram im Detail anschaute, hat er sich jetzt TikTok vorgenommen. Ganz wie bei den Apps des Meta-Konzerns sieht er auch bei TikTok erhebliche Risiken. Über den In-App-Browser von TikTok könne der Betreiber ByteDance alle Nutzereingaben auf Webseiten überwachen und speichern.
In-App-Browser kommen immer dann zum Einsatz, wenn in Apps wie Facebook, Instagram oder TikTok auf einen externen Link getippt wird. Die Betreiber injizieren laut Krause JavaScript-Code, der ein Mitlesen der Keyboard-Eingaben ermöglicht. Dazu gehören auch sensible Daten wie Passwörter, Adressen oder Zahlungsinformationen. Krause berichtet zusätzlich davon, dass die Apps jede Bildschirmeingabe protokollieren können.
„Aus technischer Sicht ist das gleichbedeutend mit der Installation eines Keyloggers auf Webseiten von Drittanbietern“, fasst Krause seine Untersuchung zusammen. Er weist aber auch darauf hin, dass die technische Möglichkeit nicht gleichbedeutend damit ist, dass die App-Betreiber auch etwas Böses im Schilde führen.
Dieses Argument führt auch ByteDance ein. In einem Statement heißt es, dass TikTok durchaus JavaScript-Code auf Webseiten platziert, dies aber nur der Fehlersuche und Leistungsüberwachung dient. Man möchte dadurch ein „optimales Nutzererlebnis“ gewährleisten (Quelle: Forbes).
Weitere Tech-News in der Übersicht:
TikTok-Überwachung selbst überprüfen
Krause hat ein Tool veröffentlicht, mit dem Nutzer selbst überprüfen können, ob und welchen JavaScript-Code Apps in Webseiten injizieren. Dazu muss die Adresse InAppBrowser.com in der App geteilt werden, zum Beispiel in Form einer Nachricht an einen anderen Nutzer. Anschließend wird auf den Link getippt.