Der Sicherheitsforscher Felix Krause, der bereits auf das Trackingpotenzial des integrierten Browsers in der Facebook- und Instagram-App unter iOS aufmerksam gemacht hatte, sieht ein ähnliches Problem auch beim beliebten Kurzvideodienst TikTok der chinesischen Firma Bytedance.

"Wie ein Keylogger"

Wie Krause in einer am Donnerstag veröffentlichten Analyse schreibt, injiziert die offizielle TikTok-App JavaScript-Code in jede im In-App-Browser geladene Website. Über diesen sei es potenziell möglich, jegliche Aktivität des Benutzers mitzulesen, seien es nun Tastatureingaben, Taps auf den Bildschirm, das Anklicken weiterer Links und vieles mehr. "Das ist das Äquivalent zur Installation eines Keyloggers auf Drittanbieter-Websites", schreibt Krause. Metadaten seien auch abgreifbar.

In einem Statement teilte TikTok gegenüber US-Medien mit, man nutze den Code "nur für Debugging, Problembehebung und Geschwindigkeitsmessungen". Dazu gehöre etwa, festzustellen, wie schnell Seiten laden und wann sie abstürzen. Warum der Dienst diese Daten benötigt, bleibt allerdings völlig unklar – schließlich nutzen die User den Browser einfach nur dazu, Links in TikTok-Profilen zu folgen, die TikTok wiederum eher nicht interessieren müssen.

Website zum Testen gestartet

Zuvor hatte Krause ein ähnliches Problem in den Apps von Facebook und Instagram demonstriert. So kann potenziell erfasst werden, wenn eine Anzeige angeklickt, ein Button oder Link betätigt, Texte selektiert, Screenshots angefertigt oder Eingaben getätigt werden – darunter auch potenziell Passwörter und Kreditkarteninfos, sollte man diese eingeben. Facebook-Mutter Meta betonte allerdings, man nutze diese JavaScript-Injection nur dazu, um Conversion-Events zu messen sowie sich an Apples App-Datenschutz ATT zu halten. Bezahlinformationen würden im Browser "nur für Autofill-Funktionen und nach Genehmigung duch den Nutzer" gespeichert.

Bei TikTok ist das Problem besonders schwerwiegend, weil die App Nutzern keine einfache Möglichkeit gibt, Links im festgelegten iPhone-Standardbrowser – also etwa Safari, Chrome oder Firefox – zu öffnen. Das ist bei Instagram und anderen Meta-Apps, Amazon-Anwendungen oder Snapchat deutlich einfacher. Krause will das Problem nun weiter publizieren und hat dazu eine eigene Test-Website aufgesetzt, mit der sich prüfen lässt, ob In-App-Browser Code injizieren.

