TikTok hat die Möglichkeit, jedes Antippen Ihres Bildschirms zu verfolgen, während Sie in seiner iOS-App surfen, einschließlich eingegebener Passwörter und angeklickter Links, so neu Forschung von Software-Ingenieur Felix Krause.
In-App-Browsing bezieht sich auf alle Aktivitäten auf Websites von Drittanbietern, die in der App und nicht in einem externen Fenster geöffnet werden.
Am Donnerstag veröffentlichte Krause einen Bericht, in dem der JavaScript-Code untersucht wurde, den Social-Media-Plattformen in Websites von Drittanbietern einschleusen, die es ermöglichen, die Aktivität von Benutzern zu verfolgen.
Das Sicherheitstool von Krause, InAppBrowser.com, enthüllte, dass die TikTok iOS-App in der Lage ist, alle Tastenanschläge, Texteingaben und Bildschirmberührungen zu überwachen, die sensible persönliche Daten wie Kreditkarteninformationen und Passwörter enthalten könnten.
Krause bemerkte jedoch, dass „nur weil eine App JavaScript in externe Websites einfügt, dies nicht bedeutet, dass die App etwas Bösartiges tut“.
„Wir haben keine Möglichkeit, alle Einzelheiten darüber zu erfahren, welche Art von Daten jeder In-App-Browser sammelt oder wie – oder ob – die Daten übertragen oder verwendet werden“, sagte er.
Beim Öffnen einer Website aus der TikTok iOS-App heraus fügen sie Code ein, der jede Tastatureingabe beobachten kann (einschließlich Kreditkartendaten, Passwörtern oder anderen sensiblen Informationen).
TikTok hat auch Code, um alle Taps zu beobachten, wie das Klicken auf Schaltflächen oder Links. pic.twitter.com/Dcv0N4ccKD
— Felix Krause (@KrauseFx) 18. August 2022
Priyadarsi Nanda von der School of Electrical and Data Engineering der University of Technology Sydney sagte, das Sammeln von Informationen über Tastatureingaben ähnelt stark dem Verhalten von Keyloggern, einer Art von Malware.
„Welche Website Sie auch besuchen, sie braucht Ihre Eingaben“, sagte er. „Dies ist definitiv ein Problem für jede App, der Sie nicht vertrauen.“
Ein TikTok-Sprecher sagte gegenüber Guardian Australia, dass „die Schlussfolgerungen des Berichts zu TikTok falsch und irreführend sind“.
„Der Forscher sagt ausdrücklich, dass der JavaScript-Code nicht bedeutet, dass unsere App etwas Bösartiges tut, und gibt zu, dass er nicht wissen kann, welche Art von Daten unser In-App-Browser sammelt“, sagte der Sprecher.
„Entgegen den Behauptungen des Berichts erfassen wir keine Tastenanschläge oder Texteingaben über diesen Code, der ausschließlich zum Debuggen, zur Fehlerbehebung und zur Leistungsüberwachung verwendet wird.“
Neben TikTok bewertete Krause die iOS-Apps von Instagram, Facebook, Facebook Messenger, Amazon, Snapchat und Robinhood. TikTok war die einzige App, die Benutzern nicht die Möglichkeit bot, beim Zugriff auf Websites von Drittanbietern vom In-App-Browsing zu einem externen Browser zu wechseln.
„TikTok hatte die umfassendsten Überwachungsfunktionen“, sagte Uri Gal, Professor für Wirtschaftsinformatik an der University of Sydney.
„Viele Leute, die die App verwenden, sind sich der Überwachung, die über sie darin durchgeführt wird, nicht bewusst [it]. Die Nutzerbasis von TikTok ist bei weitem jünger als die von Facebook und Instagram … das macht sie viel anfälliger.“
Gal sagte, TikTok stelle aufgrund der mutmaßlichen Verbindungen der Muttergesellschaft ByteDance zur Kommunistischen Partei Chinas „eine andere Art von Risiko dar“.
Die Überwachungsfunktion könnte genutzt werden, um „so viele Informationen wie möglich für Industriespionagezwecke zu sammeln und die öffentliche Meinung stärker in Richtung ihrer Interessen zu formen“, sagte er.
EIN Bericht Das von der australisch-amerikanischen Cybersicherheitsfirma Internet 2.0 im Juli veröffentlichte Dokument warnte die chinesische Regierung davor, die App zum Sammeln persönlicher Informationen zu verwenden, von In-App-Nachrichten bis hin zu Gerätestandorten.
ByteDance hat in der Vergangenheit eine Verbindung zur chinesischen Regierung bestritten und die Behauptung als „Fehlinformation“ bezeichnet, nachdem verschiedene Lecks darauf hindeuteten, dass es Material zensiert, das nicht mit den Zielen der chinesischen Außenpolitik übereinstimmt oder die Menschenrechtsbilanz des Landes erwähnt.
Krauses Forschung ergab, dass Instagram auch die Möglichkeit hat, Bildschirmberührungen zu verfolgen, z. B. wenn Benutzer auf ein Bild klicken.
„Es gibt Datenschutz- und Integritätsprobleme, wenn Sie In-App-Browser verwenden … wie Instagram und TikTok alle externen Websites in ihrer App anzeigen“, schrieb Krause in dem Bericht.
Gal sagte, die Praktiken von Instagram und Facebook seien fast so umfangreich wie die von TikTok.
„Ihre primäre Motivation ist fast rein kommerziell und finanziell, während es bei TikTok ein nationales Sicherheitselement gibt, das meiner Meinung nach bei den anderen nicht direkt vorhanden ist.“
Ein Sprecher der Muttergesellschaft von Instagram, Meta, sagte, „In-App-Webbrowser sind in der gesamten Branche üblich“.
„Bei Meta verwenden wir In-App-Browser, um sichere, bequeme und zuverlässige Erfahrungen zu ermöglichen, z. B. um sicherzustellen, dass das automatische Ausfüllen ordnungsgemäß ausgefüllt wird, oder um zu verhindern, dass Personen auf bösartige Websites umgeleitet werden“, sagte der Sprecher.
„Das Hinzufügen einer dieser Arten von Funktionen erfordert zusätzlichen Code. Wir haben diese Erfahrungen sorgfältig gestaltet, um die Datenschutzentscheidungen der Benutzer zu respektieren, einschließlich der Art und Weise, wie Daten für Anzeigen verwendet werden können.“
In einer Erklärung von TikTok, die in Krauses Bericht enthalten ist, sagte Sprecherin Maureen Shanahan: „Wie andere Plattformen verwenden wir einen In-App-Browser, um eine optimale Benutzererfahrung zu bieten … wie zum Beispiel zu prüfen, wie schnell eine Seite lädt oder ob sie abstürzt.“
Nanda sagte, die Social-Media-Plattformen würden nicht offenlegen, wie viele personenbezogene Daten im Unternehmen verbleiben oder ob sie an Dritte weitergegeben werden.
„Sie können diese Informationen an Drittanbieter weitergeben, was entscheidend dazu beiträgt, ausgeklügelte Angriffe jeglicher Art zu starten“, sagte Nanda und wies auf Hacks hin, die Daten wie Kreditkarteninformationen stehlen, und auf Malware-Angriffe, die Computer einfrieren oder Dateien sperren. „Das ist das eigentliche Risiko.“