Laut einem Forscher, der früher für Google und Twitter gearbeitet hat, protokolliert TikTok die Tastenanschläge von Benutzern mit seinem In-App-Browser auf Apple-Geräten, einschließlich Passwörtern und Kreditkartennummern.
Der App-Entwickler und Datenschutzforscher Felix Krause hat einen Bericht über die Risiken veröffentlicht, die mit einigen iOS-Apps verbunden sind, die JavaScript-Code in Browser von Drittanbietern einschleusen.
Von den sieben beliebtesten iOS-Apps, die analysiert wurden, war TikTok aus Peking die einzige, die Benutzern nicht die Möglichkeit gab, Links mit einem Drittanbieter-Browser zu öffnen.
Klause fand heraus, dass die iOS-App von TikTok „alle Taps auf Websites überwacht, einschließlich Taps auf alle Schaltflächen und Links“, auf die über den In-App-Browser zugegriffen wird.
„TikTok iOS abonniert jeden Tastendruck (Texteingaben), der auf Websites von Drittanbietern erfolgt, die in der TikTok-App gerendert werden. Dazu können Passwörter, Kreditkarteninformationen und andere sensible Benutzerdaten (Tastendruck und Tastendruck) gehören“, schrieb Krause.
„Wir können nicht wissen, wofür TikTok das Abonnement verwendet, aber aus technischer Sicht entspricht dies der Installation eines Keyloggers auf Websites von Drittanbietern.“
TikTok bestätigte, dass der Code in seiner iOS-App vorhanden ist, behauptete jedoch, dass es ihn nicht verwendet.
„Wie andere Plattformen verwenden wir einen In-App-Browser, um eine optimale Benutzererfahrung zu bieten, aber der betreffende Javascript-Code wird nur zum Debuggen, zur Fehlerbehebung und zur Leistungsüberwachung dieser Erfahrung verwendet – wie zum Beispiel zu überprüfen, wie schnell eine Seite geladen wird oder ob sie geladen wird abstürzt“, sagte TikTok-Sprecherin Maureen Shanahan in einer Erklärung, die Krause erhalten hat.
Klause analysierte TikTok, Facebook, Instagram, Snapchat, Amazon, Robinhood und Messenger mit einem von ihm entwickelten Tool namens InAppBrowser.com.
Dem Bericht zufolge haben nur Snapchat und Robinhood keinen JavaScript-Code eingeschleust. Facebook, Instagram und Messenger haben Code eingeschleust, aber Krause sagte, dass „das nicht bedeutet, dass die App etwas Bösartiges tut“.
„Nur weil eine App JavaScript in externe Websites einfügt, bedeutet das nicht, dass die App etwas Bösartiges tut. Wir haben keine Möglichkeit, alle Einzelheiten darüber zu erfahren, welche Art von Daten jeder In-App-Browser sammelt oder wie oder ob die Daten übertragen oder verwendet werden“, schrieb Klause.
Die Risiken
Klause sagte, das Risiko tritt auf, wenn Benutzer Links öffnen, während sie eine iOS-App wie TikTok verwenden, und die gerenderte Webseite in dieser App anzeigen, anstatt den Link mit einem Drittanbieter-Browser wie Safari oder Chrome zu öffnen.
Einige JavaScript-Codes ermöglichen es Apps zu wissen, wie lange der Benutzer die verlinkte Website besucht hat, welche Links sie geöffnet haben, worauf sie getippt haben, Standortdaten, falls aktiviert, und sogar den Benutzer aufzeichnen oder sein Gesicht beim Surfen „parsen“, bemerkte Klause in a 2018 Blogeintrag.
Dies geschehe „ohne die Zustimmung des Nutzers oder des Website-Anbieters“, sagte er.
Zum Beispiel kann eine Person, die die Safari-App auf ihrem iPhone verwendet, ihre Anmelde- oder Kreditkarteninformationen zur Vereinfachung speichern. Wenn sie jedoch eine Seite mit dem In-App-Browser von TikTok besuchen, müssen alle Anmelde- oder Zahlungsinformationen neu eingegeben werden. Diese Tastenanschläge werden dem Bericht zufolge überwacht.
„Dies birgt verschiedene Risiken für den Benutzer, da die Host-App jede einzelne Interaktion mit externen Websites verfolgen kann, von allen Formulareingaben wie Passwörtern und Adressen bis hin zu jedem einzelnen Tippen“, schrieb Krause.
Experten warnen seit langem davor, dass TikTok aufgrund der Verbindungen des Unternehmens zur Kommunistischen Partei Chinas (KPCh) nicht vertraut werden kann. Das hat das Unternehmen unter die Lupe genommen.
Chinesische Sicherheitsgesetze zwingen Unternehmen, auf Anfrage mit Geheimdiensten zusammenzuarbeiten. TikTok hat erklärt, dass es Anfragen der CCP nach Benutzerdaten nicht nachkommen würde.
Casey Fleming, CEO des Geheimdienst- und Sicherheitsstrategieunternehmens BlackOps Partners, hat gesagt, dass die KPCh „unbeschränkte Kriegsführung“ betreibt, da sie versucht, die Vereinigten Staaten zu verdrängen, um die einzige Supermacht der Welt zu werden.
„Alle Technologien, die aus China kommen – entweder in China hergestellt oder in China entwickelt – werden von der KPCh kontrolliert“, sagte er.
Die riesige Menge an Daten, die TikTok über seine Benutzer, hauptsächlich junge Amerikaner, sammelt, macht die App zu einem Risiko, so ein anderer Experte, der sagte, dass die App dazu verwendet werden könnte, Amerikaner auszuspionieren.
„Wenn du ein Land ausspionieren willst, warum schickst du dann einen Spion auf die altmodische Art? Warum nicht einfach eine tolle App einsenden und sie viral machen?“ sagte Gary Miliefsky, ein Experte für Cybersicherheit und Herausgeber des Cyber Defense Magazine, in einer Erklärung, die zuvor von The Epoch Times erhalten wurde.
Text ist eine Übersetzung vom Epoch Times Artikel: