Originaltitel: hacker-gad53e5a7f_1920 // Urheber: B_A // Lizenz: Pixabay Lizenz // Quelle: Pixabay
Dass Social Media Apps nicht gerade gerade ein Hort des Privaten sind, weiß inzwischen wohl jeder. Nicht nur, dass sehr viele Menschen oftmals viele zu viele Informationen über sich der Öffentlichkeit preisgeben, das Geschäftsprinzip dieser Apps besteht ja bekanntlich darin, möglichst viele Daten über ihre Nutzer zu sammeln und so möglichst zielgerichtet Werbung auszuspielen.
Aber zumindest unter iOS können diese Apps noch viel mehr, wie der Sicherheitsforscher Felix Krause in zwei Veröffentlichungen zuletzt darlegt. Denn dort können die integrierten In-App-Browser Javascript in die Websites von Drittanbietern injizieren. Damit können sie zumindest theoretisch aus einer unbedenklichen Website eine hochgradig manipulierte machen. Sie können das Aussehen der Seite verändern, Metadaten auslesen, Clicks mitverfolgen und sogar als Keylogger dienen und so andere Logins inklusive Passwort aufzeichnen. Bei TikTok kommt hinzu, dass für Links innerhalb der App nur der In-App-Browser genutzt werden kann, während die anderen Apps es auch erlauben, den Standard-Browser zu verwenden.
Wer mal etwas genauer wissen möchte, was ein In-App-Browser so tut, kann sich mit einem Open-Source-Tool über inappbrowser.com anschauen. Leider ist das Tool nicht in der Lage, genau zu analysieren, welcher Code injiziert wird. Dementsprechend hat TikTok in einem Statement erklärt, die Möglichkeit "nur für Debugging, Problembehebung und Geschwindigkeitsmessungen" zu nutzen und von der Facebook- und Instagram-Mutter Meta hieß es zu dem Thema, (Zitat heise) "man nutze diese JavaScript-Injection nur dazu, um Conversion-Events zu messen sowie sich an Apples App-Datenschutz ATT zu halten. Bezahlinformationen würden im Browser "nur für Autofill-Funktionen und nach Genehmigung duch den Nutzer" gespeichert.".
