„Vorsicht bei In-App-Browsern“ ist eine gute Faustregel für jeden datenschutzbewussten Benutzer mobiler Apps – angesichts des Potenzials einer App, die Aufmerksamkeit der Benutzer zu nutzen, um über die Browsersoftware, die sie ebenfalls steuert, zu schnüffeln, was Sie sehen. Aber die Augenbrauen werden über das Verhalten des In-App-Browsers von TikTok nach der Unabhängigkeit hochgezogen Datenschutzforschung von Entwickler Felix Krause fand die iOS-App des sozialen Netzwerks, die Code einschleust, der es ihm ermöglichen könnte, alle Tastatureingaben und Taps zu überwachen. Aka, Keylogging.
„TikTok iOS abonniert jeden Tastendruck (Texteingaben), der auf Websites von Drittanbietern erfolgt, die in der TikTok-App gerendert werden. Das können Passwörter, Kreditkarteninformationen und andere sensible Nutzerdaten sein“, warnt Krause in a Blogeintrag Detaillierung der Befunde. „Wir können nicht wissen, wofür TikTok das Abonnement verwendet, aber aus technischer Sicht Dies ist das Äquivalent zur Installation eines Keyloggers auf Websites Dritter.“ [emphasis his]
Nach der Veröffentlichung ein Bericht letzte Woche – konzentrierte sich auf das Potenzial der Facebook- und Instagram-iOS-Apps von Meta, Benutzer ihrer In-App-Browser zu verfolgen – folgte Krause mit der Einführung eines Tools namens InAppBrowser.com, mit dem Benutzer mobiler Apps Details zum Code abrufen können, der von In-App-Browsern eingefügt wird, indem JavaScript-Befehle aufgelistet werden, die von der App beim Rendern der Seite ausgeführt werden. (NB: Er warnt davor, dass das Tool nicht unbedingt alle ausgeführten JavaScript-Befehle auflistet und auch nicht erkennen kann, was eine App mit nativem Code tut – also bietet es bestenfalls einen Einblick in potenziell skizzenhafte Aktivitäten.)
Krause hat das Tool verwendet, um eine kurze, vergleichende Analyse mehrerer großer Apps zu erstellen, die TikTok an die Spitze zu bringen scheint, wenn es um das Verhalten gegenüber In-App-Browsern geht – aufgrund des Umfangs der Eingaben, die es als Abonnement identifiziert hat zu; und die Tatsache, dass es Benutzern keine Option bietet, einen standardmäßigen mobilen Browser (dh anstelle seines eigenen In-App-Browsers) zum Öffnen von Weblinks zu verwenden. Letzteres bedeutet, dass es keine Möglichkeit gibt, das Laden des Tracking-Codes von TikTok zu vermeiden, wenn Sie seine App zum Anzeigen von Links verwenden. Die einzige Möglichkeit, dieses Datenschutzrisiko zu vermeiden, besteht darin, die App vollständig zu deaktivieren und einen mobilen Browser zu verwenden, um den Link direkt zu laden ( und wenn Sie es nicht kopieren und einfügen können, müssen Sie sich die URL merken können, um dies zu tun).
Krause weist darauf hin, dass, nur weil er festgestellt hat, dass TikTok jeden Tastendruck abonniert, den ein Benutzer auf Websites von Drittanbietern macht, die in seinem In-App-Browser angezeigt werden, dies nicht unbedingt bedeutet, dass es mit dem Zugriff „etwas Bösartiges“ anstellt – wie er feststelltEs gibt für Außenstehende keine Möglichkeit, alle Einzelheiten darüber zu erfahren, welche Art von Daten gesammelt oder wie oder ob sie übertragen oder verwendet werden. Aber das Verhalten selbst wirft natürlich Fragen und Datenschutzrisiken für TikTok-Benutzer auf.
Wir haben TikTok bezüglich des Tracking-Codes kontaktiert, den es in Websites von Drittanbietern einfügt, und werden diesen Bericht mit jeder Antwort aktualisieren.
Meta-eigene Apps Instagram, Facebook und FB Messenger wurden ebenfalls von Krause gefunden, um Websites von Drittanbietern zu modifizieren, die über ihre In-App-Browser geladen wurden – mit „potenziell gefährlichen“ Befehlen, wie er es ausdrückt – und wir haben uns auch an die Technik gewandt Giant für eine Antwort auf die Ergebnisse.
Privatsphäre und Datenschutz werden in der Europäischen Union durch Gesetze geregelt, darunter die Datenschutz-Grundverordnung und die ePrivacy-Richtlinie, sodass jede Verfolgung von Benutzern in der Region, die keine angemessene Rechtsgrundlage hat, zu behördlichen Sanktionen führen kann.
Beide Social-Media-Giganten waren in den letzten Jahren bereits Gegenstand einer Vielzahl von EU-Verfahren, Untersuchungen und Durchsetzungsmaßnahmen in Bezug auf Datenschutz-, Daten- und Verbraucherschutzbedenken – mit einer Reihe von laufenden Untersuchungen und einigen wichtigen Entscheidungen, die sich abzeichnen.
„Kontext eines bestimmten Rahmens und einer Inhaltswelt“ (alias WKContentWorld), die Apple seit iOS 14.3 bereitstellt; die Einführung der Bestimmung als Anti-Fingerprinting-Maßnahme, damit Website-Betreiber nicht in den JavaScript-Code von Browser-Plug-ins eingreifen können (aber die Technologie ist offensichtlich ein zweischneidiges Schwert im Zusammenhang mit Tracking-Verschleierung) – mit dem Argument, dass sie daher „wichtiger als jemals eine Lösung zu finden, um die Verwendung von benutzerdefinierten In-App-Browsern zum Anzeigen von Inhalten Dritter zu beenden“.
Trotz einiger besorgniserregender Verhaltensweisen in mobilen Apps, die auf iOS laufen, wird Apples Plattform normalerweise als datenschutzsicherer angepriesen als die von Google inspirierte mobile Betriebssystemalternative Android – und es ist erwähnenswert, dass Apps, die der Empfehlung von Apple folgen, Safari (oder SFSafariViewController) zu verwenden. für das Anzeigen externer Websites wurden von Krause als „auf der sicheren Seite“ befunden – einschließlich Gmail, Twitter, WhatsApp und vielen anderen –, da Cupertinos empfohlene Methode bedeutet, dass es für Apps keine Möglichkeit gibt, Code auf Websites einzuschleusen, einschließlich durch Bereitstellung von das oben erwähnte isolierte JavaScript-System (das ansonsten zur Verschleierung des Tracking-Codes verwendet werden könnte).