Wussten Sie, dass Sie möglicherweise verfolgt werden, wenn Sie einen In-App-Browser auf iOS laden? Ein neues Tool zeigt genau wie, wie Apps wie TikTok und Instagram möglicherweise JavaScript verwenden können, um vertrauliche Daten, einschließlich Ihrer Adresse, Passwörter und Kreditkarteninformationen, ohne Ihre Zustimmung anzuzeigen.
Das Tool ist auf InAppBrowser.com zu finden. Alles, was Sie tun müssen, ist, die App zu öffnen, die Sie ausprobieren möchten, und die InAppBrowser.com-URL irgendwo darin zu teilen, z. B. den Link an einen Freund zu senden oder ihn in einem Kommentar zu posten. Von dort aus können Sie auf den Link tippen und einen Bericht von der Website über die im Hintergrund ausgeführten Skripte erhalten.
Lassen Sie sich nicht einschüchtern, wenn Sie mit dem Fachjargon nicht vertraut sind, denn der Entwickler des Tools, Felix Krause, stellt FAQs bereit, die genau erklären, was Sie sehen. Auf die Frage, wie man sich am besten schützt, antwortet Krause: „Wenn Sie einen Link von einer beliebigen App öffnen, prüfen Sie, ob die App eine Möglichkeit bietet, die aktuell in Ihrem Browser angezeigte Website zu öffnen. Bei dieser Analyse wurde jede App außer TikTok angeboten eine Möglichkeit, dies zu tun.
TikTok antwortete der Website in einer zuvor bereitgestellten Erklärung Hauptplatine und jetzt auf Twitter, und sagte: „Die Ergebnisse des Berichts zu TikTok sind falsch und irreführend. Entgegen seinen Behauptungen erfassen wir keine Tipp- oder Texteingaben über diesen Code, der nur zum Debuggen, zur Fehlerbehebung und zur Leistungsüberwachung verwendet wird.
Krause ist ein Sicherheitsforscher und ehemaliger Google-Mitarbeiter, der Anfang dieses Monats einen detaillierten Bericht darüber veröffentlichte, wie Browser in Apps wie Facebook, Instagram und TikTok ein Datenschutzrisiko für Google-Nutzer darstellen können.
In-App-Browser werden verwendet, wenn Sie in einer App auf eine URL tippen. Obwohl diese Browser auf dem WebKit von Safari für iOS basieren, können Entwickler sie so einstellen, dass sie ihren eigenen JavaScript-Code ausführen, sodass sie Ihre Aktivitäten ohne Ihre Zustimmung oder die der von Ihnen besuchten Websites von Drittanbietern verfolgen können.
Anwendungen können ihren JavaScript-Code in Websites einfügen, wodurch sie überwachen können, wie der Benutzer mit der Anwendung interagiert. Dies kann Informationen über jede Schaltfläche oder jeden Link, den Sie drücken, Tastenanschläge und ob Screenshots gemacht wurden, enthalten, obwohl jede App in den gesammelten Informationen unterschiedlich ist.
Als Antwort auf Krauses früheren Bericht begründete Meta die Verwendung dieser benutzerdefinierten Tracking-Skripte damit, dass die Benutzer bereits damit einverstanden seien, dass Apps wie Facebook und Instagram ihre Daten verfolgen. Meta behauptet auch, dass die gesammelten Daten nur für gezielte Werbung oder nicht näher bezeichnete „Messzwecke“ verwendet werden.
„Wir haben diesen Kodex absichtlich entwickelt, um die zu ehren [Ask to track] Auswahl auf unseren Plattformen“, sagte ein Sprecher von Meta. „Der Code ermöglicht es uns, Benutzerdaten zu aggregieren, bevor wir sie für gezielte Werbe- oder Messzwecke verwenden.“
Sie fügten hinzu: „Für Käufe, die über den In-App-Browser getätigt werden, bitten wir den Benutzer um Zustimmung, Zahlungsinformationen für Autofill-Zwecke zu speichern.“
Das von Krause entwickelte Tool ist nicht unfehlbar. Er gibt zu, dass er nicht alle möglichen ausgeführten JavaScript-Befehle erkennen kann, und erwähnt, dass JavaScript auch in der legitimen Entwicklung verwendet wird und nicht von Natur aus bösartig ist. Er merkt an: „Dieses Tool kann nicht alle ausgeführten JavaScript-Befehle erkennen und zeigt kein Tracking an, das die Anwendung möglicherweise mit nativem Code durchführt (z. B. benutzerdefinierte Gestenerkennung).“ Nichtsdestotrotz bietet es iOS-Benutzern eine benutzerfreundliche Möglichkeit, ihren digitalen Fußabdruck in ihren Lieblings-Apps zu überprüfen.
Krause hat das Tool auch Open Source gemacht und sagte: „InAppBrowser.com ist so konzipiert, dass jeder selbst sehen kann, was Apps in ihren integrierten Browsern tun. Ich habe mich entschieden, den für diese Analyse verwendeten Code zu öffnen, Sie können ihn auf GitHub überprüfen. Dies ermöglicht der Community, dieses Skript im Laufe der Zeit zu aktualisieren und zu verbessern. Auf seiner Website können Sie mehr erfahren.
Aktualisiert am 19. August, 15:34 Uhr ET: Antwort von TikTok hinzugefügt.
Previously published on www.theverge.com