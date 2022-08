In vielen Smartphone-Apps können Nutzer und Nutzerinnen Links direkt über einen Internet-Browser innerhalb der Applikation öffnen. Doch der sogenannte In-App-Browser bietet den Anbietenden auch Möglichkeiten, die Daten und Eingaben der Nutzenden auszuspähen. Davor warnt der ehemalige Google-Ingenieur Felix Krause. Besonders auf der Tiktok-App sei ihm ein mysteriöser Code aufgefallen.

Das erklärt der Entwickler, der neben Google auch für Twitter gearbeitet hat, auf seinem Twitter-Account. "Wenn man eine Website in der Tiktok-App öffnet, injiziert Tiktok einen Tracking Code, der alle Tasteneingaben und Bewegungen überwacht – inklusive Passwörtern", schreibt Krause.

Das sei möglich, weil Tiktok über die Programmiersprache Javascript entsprechende Befehle in all jene Websites eingebe, die Nutzer und Nutzerinnen direkt über die App statt über ihren normalen Internet-Browser aufrufen. So erfährt Tiktok direkt, was die Userinnen und User auf den Websites tun. Dazu gehören auch Passwörter und Kreditkartendaten, die sie eingeben.

Tiktok: Trackingcode laut Entwickler nicht zufällig programmiert

Krause hält es nicht für Zufall, dass Tiktok einen solchen Code nutzt. "Es ist ein erheblicher Zeitaufwand, einen eigenen In-App-Browser zu programmieren und zu warten", schreibt der Entwickler. Viel einfacher sei es für die Unternehmen, den für die Privatsphäre und die Nutzenden besseren Iphone-eigenen Internetbrowser zu nutzen.

"Höchstwahrscheinlich hat die Firma eine Motivation, die Aktivitäten auf den Webseiten zu tracken", resümiert Krause. In einer Analyse hatte er solche Codes bei mehreren Apps entdeckt – unter anderem bei Facebook und Instagram.

Lediglich Tiktok hatte allerdings ein so hohes Trackingpotenzial, dass die App sogar Tasteneingaben und Bewegungen ausspionieren konnte. Davon will man bei Tiktok allerdings nur wenig wissen.

Tiktok wehrt sich in Statement gegen Vorwürfe

In einem Statement gegenüber "Forbes" erklärt eine Unternehmenssprecherin, der betreffende Javascript-Code diene lediglich zur Nutzeroptimierung der über die App besuchten Websites. So könne das Unternehmen beispielsweise herausfinden, ob Websites ungewöhnlich lange laden oder sogar abstürzen.

Zudem sei der Code Teil einer Drittanbieter-Software, die Tiktok für die Instandhaltung der Applikation nutze. Allerdings nutze Tiktok nicht alle der Software-Funktionen. Weitere Fragen dazu, so "Forbes", habe die Unternehmenssprecherin nicht beantworten wollen.

Nur soviel: "Genau wie andere Plattformen auch nutzen wir einen In-App-Browser, um den Nutzern und Nutzerinnen eine optimale Erfahrung anzubieten", so die Sprecherin. Tatsächlich hatte Krause zuvor bereits bei anderen Plattformen Bedenken geäußert.

Tiktok-Sicherheitslücke: Auch Facebook und Instagram nutzen Code

Am 10. August hatte Krause in einer Analyse bereits hervorgehoben, dass auch der Konzern Meta über den In-App-Browser auf der Iphone-Version mehrerer Apps Eingaben tracken könne. Dazu gehören Instagram und Facebook für das Betriebssystem iOS.

Klicken User und Userinnen in den Instagram- oder Facebook-Apps auf einen Link, öffnen sie diesen ebenfalls nicht im Standard-Browser, sondern in dem sogenannten Webkit-Derivat mit dem Javascript-Code. Darüber hat Meta wie Tiktok ein Trackingpotenzial für alle weiteren Eingaben.

Auch Meta betonte anschließend, lediglich Daten zum Nutzungsverhalten zu erheben – etwa um zu sehen, ob eine Person ein Produkt nach dem Anklicken eines Links auch kauft. Meta respektiere die App-Tracking-Transparenz (ATT) und speichere Zahlungsinformationen lediglich mit der Zustimmung der Nutzenden, zum Beispiel, wenn diese die Daten bei der nächsten Nutzung automatisch einfüllen wollen.

Tiktok: So schützen Sie sich vor dem Tracking

Krause hebt hervor, dass auch er nicht weiß, wozu die Konzerne die Daten tatsächlich nutzen und welche Informationen sie genau zurückhalten. Er habe lediglich das Gefahrenpotenzial hervorheben wollen, erklärt er. Passend dazu informiert er Nutzer und Nutzerinnen auch darüber, wie sie sich schützen können.

Zum Einen empfiehlt Krause, Links im Default-Browser des Smartphones zu öffnen. Die meisten Apps bieten beim Klicken auf In-App-Links eine Möglichkeit an, diese im regulären Browser auszuspielen. "Bis auf Tiktok bietet jede App eine solche Option an", schreibt Krause auf Twitter.

Zudem hat Krause selbst ein Tool entwickelt, mit dem User und Userinnen prüfen können, ob der In-App-Browser die Websites mit neuem Code anreichert. Wer über eine der Apps den Link InAppBrowser.com öffnet, kann direkt überprüfen, ob die App weitere Codes in die Seiten injiziert. (reba)

