Klickt man in Tiktok oder Instagram auf den Link eines Anbieters, eine Werbung oder einen News-Artikel, öffnet sich die Webseite des Anbieters. Auf den ersten Blick sieht das aus wie immer, wenn man im Internet eine Seite aufruft. Was die meisten nicht wissen: Viele Apps benutzen in diesem Moment nicht den normalen Browser des Betriebssystems, sondern den sogenannten «In-App-Browser». Der Anbieter einer App kann diesen eigenen Browser selber kontrollieren – im Gegensatz zu einem Browser wie Chrome, Firefox oder Safari.
Die Kontrolle bringt dem Anbieter einen grossen Vorteil: Er kann sich Zugang zu jeder Webseite eines Drittanbieters und zum Nutzerverhalten verschaffen. Was möglich ist, wird auch getan. Zu diesem Schluss kam der Sicherheitsexperten Felix Krause. Er konnte auf iOS-Geräten zeigen, wie bekannte App-Anbieter externen Webseiten ihren eigenen Code hinzufügten, um so an Informationen zu gelangen.
Der Technologie-Podcast von SRF über Internet, Smartphones, soziale Netzwerke, Computersicherheit und Games.
Um diesen Podcast zu abonnieren, benötigen Sie eine Podcast-kompatible Software oder App. Wenn Ihre App in der obigen Liste nicht aufgeführt ist, können Sie einfach die Feed-URL in Ihre Podcast-App oder Software kopieren.
Facebook und Instagram zum Beispiel interessieren sich dafür, auf welche Links ihre Nutzerinnen und Nutzer klicken und wo sie sich im Internet bewegen. Noch weiter geht Tiktok. Die App des chinesischen IT-Konzerns beobachtet auch die Tastatur. Wenn wir ein Passwort eintippen oder beim Online Shopping unsere Kreditkartennummer angeben, kann Tiktok diese Angaben abfangen und speichern.
Wie reagieren die App-Anbieter?
Felix Krause konnte bei iOS-Apps zeigen, wie die Herausgeber von Apps sich über den In-App-Browser hinter dem Rücken ihrer ahnungslosen Nutzerinnen und Nutzer Zugang zu brisanten Daten verschaffen können. Was danach mit den Informationen geschieht, ist nicht bekannt. Ob das auch auf Android-Geräten möglich ist, hat Krause nicht untersucht. Tiktok schreibt, diese Informationen würden ausschliesslich zur Behebung von Fehlern genutzt. Auch Instagram weist alle Vorwürfe zurück.
Als Nutzer dieser Apps sollte man davon ausgehen, dass eine App alles macht, was technisch machbar ist.
Wie kann ich mich schützen?
Wenn möglich, sollte man Links im normalen Browser öffnen. Das funktioniert unterschiedlich, je nach Smartphone-Modell und App. Um zu wählen, wie man einen Link öffnen möchte, kann man auf Geräten mit einem Touch-Screen den Link gedrückt halten. Bei Instagram klappt das nicht – diese Funktion wurde offenbar deaktiviert. Man muss deshalb den Links zuerst im In-App Browser öffnen und dann im Menü die Option «Im Browser öffnen» anwählen.
Tiktok macht es einem noch schwerer. Hier gibt es meist gar keine Möglichkeit, Links im eigenen Browser zu öffnen. Was bleibt: Die Adresse der Webseite im externen Browser von Hand eingeben.
Rechtliche Folgen
Die Recherche des Sicherheitsforschers Felix Krause hat möglicherweise rechtliche Folgen. In den USA sind zwei Klagen gegen Meta hängig. Und auch die Data Protection Commission in Irland, dem europäischen Hauptsitz von Meta und Tiktok, will sich laut «TechCrunch» die Sache genauer anschauen.