Zum Inhalt springen

Fehlender Datenschutz Passwort oder Kreditkartennummer: Tiktok kann alles abfangen

Wie Tiktok, Facebook, Instagram und Co unser Verhalten auf Webseiten von Drittanbietern beobachten – und unsere Daten speichern.

Klickt man in Tiktok oder Instagram auf den Link eines Anbieters, eine Werbung oder einen News-Artikel, öffnet sich die Webseite des Anbieters. Auf den ersten Blick sieht das aus wie immer, wenn man im Internet eine Seite aufruft. Was die meisten nicht wissen: Viele Apps benutzen in diesem Moment nicht den normalen Browser des Betriebssystems, sondern den sogenannten «In-App-Browser». Der Anbieter einer App kann diesen eigenen Browser selber kontrollieren – im Gegensatz zu einem Browser wie Chrome, Firefox oder Safari.

Die Kontrolle bringt dem Anbieter einen grossen Vorteil: Er kann sich Zugang zu jeder Webseite eines Drittanbieters und zum Nutzerverhalten verschaffen. Was möglich ist, wird auch getan. Zu diesem Schluss kam der Sicherheitsexperten Felix Krause. Er konnte auf iOS-Geräten zeigen , wie bekannte App-Anbieter externen Webseiten ihren eigenen Code hinzufügten, um so an Informationen zu gelangen.

Facebook und Instagram zum Beispiel interessieren sich dafür, auf welche Links ihre Nutzerinnen und Nutzer klicken und wo sie sich im Internet bewegen. Noch weiter geht Tiktok. Die App des chinesischen IT-Konzerns beobachtet auch die Tastatur. Wenn wir ein Passwort eintippen oder beim Online Shopping unsere Kreditkartennummer angeben, kann Tiktok diese Angaben abfangen und speichern.

Wie reagieren die App-Anbieter?

Felix Krause konnte bei iOS-Apps zeigen, wie die Herausgeber von Apps sich über den In-App-Browser hinter dem Rücken ihrer ahnungslosen Nutzerinnen und Nutzer Zugang zu brisanten Daten verschaffen können. Was danach mit den Informationen geschieht, ist nicht bekannt. Ob das auch auf Android-Geräten möglich ist, hat Krause nicht untersucht. Tiktok schreibt, diese Informationen würden ausschliesslich zur Behebung von Fehlern genutzt. Auch Instagram weist alle Vorwürfe zurück.

Welche Apps nutzen In-App-Browser?

Box aufklappen Box zuklappen

Diese Apps öffnen Links in ihren eigenen In-App-Browsern:

  • Tiktok
  • Instagram
  • Facebook
  • Facebook Messenger
  • Snapchat
  • Amazon

Auf der sicheren Seit ist man mit diesen Apps, die Links (auf iOS) im Safari öffnen:

  • WhatsApp
  • Telegram
  • Signal
  • YouTube
  • Gmail
  • Google Maps
  • Twitter
  • Reddit
  • Slack
  • Spotify
  • Venmo
  • Twitch
  • Microsoft Teams
  • Microsoft Outlook
  • Microsoft OneNote

Als Nutzer dieser Apps sollte man davon ausgehen, dass eine App alles macht, was technisch machbar ist.

Wie kann ich mich schützen?

Wenn möglich, sollte man Links im normalen Browser öffnen. Das funktioniert unterschiedlich, je nach Smartphone-Modell und App. Um zu wählen, wie man einen Link öffnen möchte, kann man auf Geräten mit einem Touch-Screen den Link gedrückt halten. Bei Instagram klappt das nicht – diese Funktion wurde offenbar deaktiviert. Man muss deshalb den Links zuerst im In-App Browser öffnen und dann im Menü die Option «Im Browser öffnen» anwählen.

Instagram Links im eigenen Browser öffnen

Tiktok macht es einem noch schwerer. Hier gibt es meist gar keine Möglichkeit, Links im eigenen Browser zu öffnen. Was bleibt: Die Adresse der Webseite im externen Browser von Hand eingeben.

Rechtliche Folgen

Die Recherche des Sicherheitsforschers Felix Krause hat möglicherweise rechtliche Folgen. In den USA sind zwei Klagen gegen Meta hängig. Und auch die Data Protection Commission in Irland, dem europäischen Hauptsitz von Meta und Tiktok, will sich laut «TechCrunch» die Sache genauer anschauen.

Info 3, 06.10.2022, 12:00 Uhr

Meistgelesene Artikel