Manche In-App Browser können mitlesen – Beispiel TikTok

22. August 2022von 2,5 Minuten Lesezeit

Letzte Woche hat Felix Krause einen Bericht über die Risiken von mobilen Apps mit In-App-Browsern veröffentlicht. Einige Apps, wie Instagram und Facebook, injizieren JavaScript-Code in Websites von Drittanbietern, die potenzielle Sicherheits- und Datenschutzrisiken für den Nutzer darstellen.

Daten sind bekanntlich das Erdöl und Erdgas des 21. Jahrhunderts. Mit der Verbreitung der Smartphones hat die Ausspähung und Datensammlung enorm zugenommen. Schädliche Software kann Daten von Kreditkarten. Passworte und viele andere private Information mitlesen. Ein Problem stellt dabei die Tastatur dar. Zum Beispiel erhält man diese Warnung, schon bei der Installation von Microsofts Swiftkey:

Krause hat ein kleines Tool produziert, das eine Information liefert was Apps in deinen Webviews tun. Er stellt InAppBrowser.com vor, ein einfaches Tool, das die JavaScript-Befehle auflistet, die von der iOS-App ausgeführt werden, die die Seite rendert.

Um dieses Tool selbst auszuprobieren:

  1. Öffnen Sie eine App, die Sie analysieren möchten.
  2. Teilen Sie die URL https://InAppBrowser.com irgendwo innerhalb der App (z. B. per DM an einen Freund oder in Ihrem Feed)
  3. Tippen Sie auf den Link innerhalb der App, um sie zu öffnen
  4. Lesen Sie den Bericht auf dem Bildschirm

Der In-App-Browser von TikTok, der Code einschleust, um alle Tipp- und Tastatureingaben zu beobachten, die Passwörter und Kreditkarten enthalten können

Krause hat mit diesem Tool begonnen, die beliebtesten iOS-Apps zu analysieren, die einen eigenen In-App-Browser haben. Er hat alle iOS-Browser von Drittanbietern (Chrome, Brave usw.) ausgeschlossen, da sie JavaScript verwenden, um einige ihrer Funktionen anzubieten, z. B. einen Passwortmanager. Apple verlangt von allen iOS-Browser-Apps von Drittanbietern, dass sie die Safari-Rendering-Engine WebKit verwenden.

Der In-App-Browser von TikTok auf iOS fügt Javascript-Code in externe Websites ein, der es der Social-Media-Plattform ermöglicht, „alle Tastatureingaben und -tipps“ zu verfolgen, so der Sicherheitsforscher. Laut TikTok wird der Code nicht für bösartige Zwecke verwendet.

Krause bestätigt, dass die überwachten Tastatureingaben und -tipps sensible Daten wie Kreditkarteninformationen und Passwörter umfassen.

Aus technischer Sicht ist dies das Äquivalent zur Installation eines Keyloggers auf Websites von Drittanbietern„, so der Sicherheitsforscher. Er räumte jedoch ein, dass „nur weil eine App JavaScript in externe Websites einschleust, dies nicht bedeutet, dass die App etwas Böses tut„.

Krause riet denjenigen, die sich vor der böswilligen Verwendung des Codes schützen wollen, externe Websites mit dem iOS-Standardbrowser Safari oder dem von ihnen verwendeten Standardbrowser zu öffnen.

Immer wenn Sie einen Link aus einer App öffnen, prüfen Sie, ob die App eine Möglichkeit bietet, die aktuell angezeigte Website in Ihrem Standardbrowser zu öffnen“, so Krause. „Während dieser Analyse bot jede App außer TikTok eine Möglichkeit, dies zu tun“.

Bild von methodshop auf Pixabay

Unsere Arbeit ist spendenfinanziert – wir bitten um Unterstützung.

Folge uns auf Telegram und GETTR


Smart Meter Security – Angriffsrisiko mit hohem Schadpotenzial

WEF empfiehlt Microchip-Implantate für Kinder

So sicher sind unsere digitalen Impf-Daten: Hacker knacken Quellcode für Samsung Galaxy Smartphones

4 Kommentare

  1. MOrsezeichen ...---... 22. August 2022 at 9:36Antworten

    Gesundheitswarnung!

    Soeben den ORF-„Artikel“ über „Telegram-Forschung“ gelesen. Hinterher hätte ich mir gewünscht, auch das wäre von einer App gelesen worden anstatt von mir.
    Der Inhalt dieses „Artikels“ ist jedenfalls gesundheitsgefährdend. Sowohl aus „intellektueller“ Sicht als auch aus jedem menschlichen Blickwinkel.

    Nicht mehr lange und auch bei uns ist jeder Kritiker einer „offiziellen Sache“ vogelfrei.
    Denn der Gipfel dieses „Artikels“: nach etlichen, pauschalen Anwürfen gegen böse „Querdenker“ wird ihnen/uns auch noch die „Dehumanisierung“ unserer Gegner vorgeworfen. Wohlgemerkt, auch eine Ulrike Guerot wird zu dieser „Gruppe“ der Querdenker gezählt wie jede Menge anderer Unbescholtener.

    Einfach nur noch eklig. Dabei kannte ich den Autor persönlich aus meiner kurzen Zeit beim ORF – und hielt ihn für vernünftig. So kann man sich irren. Alles nur noch eine einzige Propaganda-Sauce. Und keiner merkt die Wandlung der offiziellen Sprachregelungen in den „Regime-Modus“ (Kollaborateure, Volksverräter, Staatsfeinde, Zersetzer, Terroristen, etc).

    Diese Welt ist krank. Da hilft kein Arzt mehr – im Gegenteil.

    • Cris 22. August 2022 at 14:39Antworten

      MOrsezeichen …—…
      22. August 2022 at 9:36Antworten

      14.000 offene Morddrohungen auf Telegram ( nur alleine im Niederländischen Teil von Telegram, sind halt auch kein Pappenstiel.
      Auf dem Kanal findet sich der Abschaum der Menschheit zusammen, weil halt alles erlaubt ist.
      Ist nur mehr eine Frage der Zeit bis einer oder ein paar aus dieser Gruppe etwas anstellen werden dass Telegram dazu zwingt zu zensieren.
      Es liegt leider an den Radikalen und Primitiven dass die Meinungsfreiheit mehr und mehr eingeschränkt wird.
      Oder sind sie der Meinung dass Morddrohungen ein Teil der Meinungsfreiheit sind.

      • I.B. 23. August 2022 at 15:39

        Ich kenne zwar den Telegramm-Kanal nicht. Aber wenn sich dort der Abschaum der Menschheit zusammenfindet, wer befindet sich dann auf Twitter, Facebook etc? Die Elite?
        Diejenigen, die es in Ordnung finden, dass Menschen diskriminiert werden, der Rechtsstaat ausgehebelt wird und die daher die guten DEMOKRATEN sind? Diejenigen, die Orban zwar vorwerfen, dass er die Medien kontrolliert, aber es gut finden, dass wir, die Guten, vor ausländischen Sendern geschützt werden, um keine Falschinformationen zu bekommen, und sie daher verboten werden? Betreutes Denken?
        Menschlicher Abschaum also, ganz allgemein. Und Abschaum muss man natürlich beseitigen. Was kommt als nächstes? Ungeziefer?

    • Toni 22. August 2022 at 14:39Antworten

      Dieser Artikel offenbart das übliche pseudowissenschaftliche Gesülze einiger Wissenschaftler.

      Ein Zitat daraus: „Von den öffentlich zugänglichen Chatgruppen und Telegram-Kanälen in Holland sind 43 Prozent Verschwörungsideologien aller Couleurs zuzuordnen.“ Offensichtlich ist der Leiter der Utrecht Data School nicht nur im Erstellen sinnloser Datenauswertungen bewandert sondern kennt alle Verschwörungsideologien. Das ist wissenschaftlicher Nonsens.

      Diesem Herren wäre anzuraten, sich jene Regierungen vorzunehmen, die derzeit bewusst eine Energiekrise mit Blackout provozieren. Vor einigen Jahren wäre eine solche Absicht noch als „Verschwörungstheorie“ tituliert worden.

      Glück auf, Toni

Wir freuen uns über jeden Kommentar, aber ersuchen einige Regeln zu beachten: Bitte bleiben wir respektvoll - keine Diffamierungen oder persönliche Angriffe, keine (Ab-)Wertungen und bitte auch keine Video-Links und Texte mit roten Rufzeichen. Da wir die juristische Verantwortung für jeden veröffentlichten Kommentar tragen müssen, geben wir Kommentare erst nach einer Prüfung frei. Je nach Aufkommen kann es deswegen zu zeitlichen Verzögerungen kommen.

Aktuelle Beiträge