InAppBrowser: Zeigt, welche JavaScript-Befehle durch einen In-App-Browser injiziert werden
von caschy | 16 Kommentare
Wir hatten neulich schon darüber berichtet: Der Entwickler Felix Krause hatte entdeckt, dass Apps wie Facebook und Instagram eure Interaktionen mit Webseiten mitschneiden könnten, wenn der In-App-Browser genutzt wird. Der Kniff sei hierbei, dass beispielsweise die Instagram-App ihren Tracking-Code in jede angezeigte Website einfügt, auch wenn auf Anzeigen geklickt wird, sodass alle Nutzerinteraktionen überwacht werden können.
Nun hat Krause weiter geforscht und ein Projekt namens InAppBrowser.com, ins Leben gerufen, welches überprüft, welche JavaScript-Kommandos beim Aufrufen der Seite im In-App-Browser von iOS ausgeführt werden.
Und: Der benutzerdefinierte In-App-Browser von TikTok auf iOS injiziert laut Krause zufolge JavaScript-Code in externe Websites, der es TikTok ermöglicht, „alle Eingaben“ zu überwachen, während ein Nutzer mit einer bestimmten Website interagiert. „Aus technischer Sicht ist dies das Äquivalent zur Installation eines Keyloggers auf Websites von Drittanbietern“, so Krause in Bezug auf den JavaScript-Code von TikTok.
Er fügte hinzu, dass „nur weil eine App JavaScript in externe Websites injiziert, dies nicht bedeutet, dass die App etwas Bösartiges tut„. In einer Erklärung, die Forbes vorliegt, bestätigte ein TikTok-Sprecher den fraglichen JavaScript-Code, sagte aber, dass er nur zur Fehlersuche, Fehlerbehebung und Leistungsüberwachung verwendet wird.
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Wird geladen ...
Hier muss Apple gegensteuern. Mir ist auch aufgefallen, dass Inhaltsblocker dort deaktiviert sind. Am Sichersten ist es wohl, wenn man den Safari-Knopf drückt und die Webseite im externen Browser öffnet.
Prinzipiell hast Du recht, aber genau diesen Safari-Button gibt es in der TikTok-App wohl nicht…
Sehe ich ähnlich. Apple ist an anderer Stelle sehr restriktiv, was die Browser-Nutzung angeht (Webkit-Zwang), aber hier wird ein Sicherheits-Scheunentor zugelassen.
Inhaltsblocker “dort”?
WO dort? Bei TikTok oder allgemein in InAppBrowsern (IABs) ?
Externe Extensions (wie etwa 1Blocker) kann ich in nicht sehen in IABs, dafür aber den nativen Inhaltsblocker (beispielsweise bei Reddit). Und am Beispiel funktioniert das de/aktivieren wie es soll.
Ich hab zum Vergleich eine IOS 16 (Dev.) Beta 6 laufen.
Hab ich das richtig verstanden?
„Ja, wir machen uns einen Nachschlüssel für ihre Haustür. Aber nur um zu schauen, ob das Türschloss richtig funktioniert…“
Also wenn bei solchen Meldungen niemand aufschreit und keine Behörde Strafanzeige stellt, dann ist verstehe ich tatsächlich diese Welt nicht mehr.
Ich bin da realistisch, ich nutze TikTok und andere Apps, und mir ist bewusst, dass mein Nutzungsverhalten geloggt wird. Ist mir ehrlich gesagt total egal. Ich denke, wir haben aktuell viel größere Sorgen, die unser Leben unmittelbar beeinflussen.
Ob TikTok mich trackt oder nicht, davon merke ich nichts.
Oder vielleicht doch, wenn mir passende Werbung gezeigt wird, was schon fast wieder positiv ist 😀
So wie ich es verstanden habe, hat TikTok mit dieser Injection nicht nur die Möglichkeit, die Nutzung des eigenen Dienstes zu tracken, sondern alle Browser-Aktivitäten bzw. Eingaben, die Du in und um Dein persönliches Browsing anstellst.
Deiner Argumentation folgend kannst Du ja demnächst direkt Dein c:\ Laufwerk komplett freigeben, statt nur den Ordner mit den Malle-Bildern in der Hoffnung, das er sich den Rest des Laufwerks nicht anschaut.
Schliesslich hast Du ja sicherlich sonst auch noch größere Sorgen… 🙂
Es wird alles mitgeschnitten, was über den TikTok InAppBrowser angesurft wird.
So verstehe ich das jedenfalls.
Okay, vielleicht gibt es Menschen, die immer als erstes TikTok starten und dann mit dem integrierten Browser shoppen, online Banking machen etc.
Ich für meinen Teil wusste gar nicht, dass TikTok einen integriert hat, noch nie benutzt.
Ich streiche nur von einem Video zum nächsten.
Jemand postet nen Link zum Instagram, die öffnest es in TikTok, wirst nach dem Passwort gefragt, logst dich ein und die Chinesen können all deine Facebook-Daten auslesen.
Ich glaube im Text stand das kein Safari Button vorhanden ist.
Ganz abgesehen davon Code in eine Website einschleusen und ausführen ist sowas von böse … mich wundert das Meta sowas darf und jeder andere in Windeseile den Entwickler Acc gesperrt bekommt.
Interessant fand ich auch die Apple update Werbung heute Morgen in im Nachrichtenblock von SWR3 , erster Gedanke war Meta.
Vor allem die Aussage wieder. Laut TikTok, Facebook und Co sind alle Tracker und Analysesysteme immer nur ganz friedlich dazu da, um Leistung zu überprüfen und Fehler zu analysieren. Was ein Bullshit!
Apple sollte etwas tun und die Datenschutzbehörden auch. Von ersteren erwarte ich es, von letzten mal wieder nicht.
Wenn Telegram animierte Emojis einführen will, schrillen in Cupertino die Alarmglocken und das entsprechende Update wird nicht freigegeben, aber die In-App-Browser von Meta, TikTok und Co. können schalten und walten, wie sie wollen!? Vielleicht bewirkt die Berichterstattung in den Medien ja was.
Das ist eine dokumentierte und erwünschte Funktion bei der WebView-Konponente, dass man eingenen Javascript-Code ausführen kann.
Was ist TikTok? Nutzt Du das oder lebst Du schon?
Möglich Lösung: NextDNS, AdguardDNS, dismail.de, dnsforge.de, BlahDNS.com etc….. Sund nur ein paar 😉
Oder: Den Schrott gar nicht erst installieren. Geht auch ohne soziale Medien.