Experte: TikTok kann Tastatureingaben überwachen

Sicherheit im Internet? Passwort- und Datenschutzmanagement bei chinesischen Apps? Ein Forscher, der früher für Google und Twitter gearbeitet hat verrät seine Erfahrungen: TikTok speichert die Tastenanschläge von Nutzern mit seinem In-App-Browser auf Apple-Geräten, einschließlich Passwörtern und Kreditkartennummern.
Nutzer browsen in der chinesischen Video-Sharing-App TikTok auf einem Smartphone.
Nutzer browsen in der chinesischen Video-Sharing-App TikTok auf einem Smartphone in Amritsar, Indien, am 30. Juni 2020. (Narinder Nanu/AFP via Getty Images)
Von 26. August 2022

An dieser Stelle wird ein Podcast von Podcaster angezeigt. Bitte akzeptieren Sie mit einem Klick auf den folgenden Button die Marketing-Cookies, um den Podcast anzuhören.

Der App-Entwickler und Datenschutzforscher Felix Krause veröffentlichte einen Bericht über die Risiken, die mit einigen iOS-Apps verbunden sind, die JavaScript-Code in die Browser von Drittanbietern einspeisen. Von den sieben untersuchten populärsten iOS-Apps war TikTok mit Sitz in Peking die einzige, die ihren Nutzern nicht die Möglichkeit bot, Links mit einem Browser eines Drittanbieters zu öffnen.

Krause stellte fest, dass die iOS-App von TikTok „alle Tastatureingaben auf Websites überwacht, einschließlich der Tastatureingaben auf alle Schaltflächen und Links“, die über den In-App-Browser aufgerufen werden. Was sie mit den Daten machen, kann nicht nachvollzogen werden. Als chinesisches Unternehmen bringt eine Verbindung mit dem chinesischen kommunistischen Regime zusätzliche Gefahren.

„TikTok iOS zeichnet jeden Tastenanschlag auf Websites von Drittanbietern auf, die innerhalb der TikTok-App dargestellt werden. Dies kann Passwörter, Kreditkarteninformationen und andere sensible Nutzerdaten beinhalten“, schrieb Krause. Weiter sagte er:

„Wir können nicht wissen, wofür TikTok das Abonnement verwendet, aber aus technischer Sicht ist dies das Äquivalent zur Installation eines Keyloggers auf Websites von Drittanbietern.“

Krause analysierte TikTok, Facebook, Instagram, Snapchat, Amazon, Robinhood und Messenger mit einem von ihm entwickelten Tool namens InAppBrowser.com.

TikTok bestreitet nicht

TikTok bestätigte, dass der Code in seiner iOS-App vorhanden ist, behauptete aber, dass es ihn nicht verwende.

„Wie andere Plattformen verwenden wir einen In-App-Browser, um ein optimales Nutzererlebnis zu bieten, aber der fragliche Javascript-Code wird nur für die Fehlersuche, Fehlerbehebung und Leistungsüberwachung dieses Erlebnisses verwendet, z. B. um zu prüfen, wie schnell eine Seite lädt oder ob sie abstürzt“, sagte TikTok-Sprecherin Maureen Shanahan in einer Erklärung, die Krause erhalten hat.

Dem Bericht zufolge haben nur Snapchat und Robinhood keinen JavaScript-Code injiziert. Facebook, Instagram und Messenger haben einige Codes eingeschleust, aber Krause sagte, dass dies „nicht bedeutet, dass die App etwas Böses tut“. Allerdings gebe es „keine Möglichkeit[…], die vollständigen Details darüber zu erfahren, welche Art von Daten der In-App-Browser sammelt oder wie oder ob die Daten übertragen oder verwendet werden“.

Aufzeichnung von Kreditkartendaten ohne Zustimmung des Nutzers

Laut Krause besteht das Risiko, wenn Nutzer Links öffnen, während sie eine iOS-App wie TikTok verwenden, und die gerenderte Website innerhalb dieser App anzeigen, anstatt den Link mit einem Drittanbieter-Browser wie Safari oder Chrome zu öffnen.

„Einige JavaScript-Codes ermöglichen es zu erfahren, wie lange der Nutzer die verlinkte Website besucht hat, welche Links er geöffnet hat, worauf er getippt hat, Standortdaten, falls aktiviert, und sogar den Nutzer aufzuzeichnen oder sein Gesicht zu analysieren“, während er surft, so Krause in einem Blogbeitrag von 2018. Dies geschieht „ohne die Zustimmung des Nutzers oder des Website-Anbieters“, sagte er.

Eine Person, die zum Beispiel die Safari-App auf ihrem iPhone verwendet, kann ihre Anmelde- oder Kreditkartendaten aus Bequemlichkeitsgründen speichern lassen. Wenn sie jedoch eine Seite mit dem In-App-Browser von TikTok besuchen, müssen alle Login- oder Zahlungsinformationen neu eingegeben werden. Diese Tastenanschläge werden dem Bericht zufolge überwacht.

„Dies birgt verschiedene Risiken für den Nutzer, da die Host-App in der Lage ist, jede einzelne Interaktion mit externen Websites zu verfolgen, von allen Formulareingaben wie Passwörter und Adressen bis hin zu jedem einzelnen Tippen“, schrieb Krause.

Hintergrundkontrolle durch die Kommunistische Partei Chinas

Experten warnen seit Langem, dass man TikTok aufgrund der Verbindungen des Unternehmens zur Kommunistischen Partei Chinas (KPC) nicht trauen kann. Dies hat das Unternehmen ins Kreuzfeuer der Kritik gebracht. TikTok hat daraufhin erklärt, dass es den Anfragen der KPC nach Nutzerdaten nicht nachkommen würde. Die chinesischen Sicherheitsgesetze zwingen Unternehmen jedoch dazu, mit Geheimdiensten zu kooperieren, wenn sie darum gebeten werden.

Casey Fleming, CEO der Geheimdienst- und Sicherheitsstrategie-Firma BlackOps Partners, sagte, dass die KPC eine „grenzenlose Kriegsführung“ betreibe, da sie versuche, die Vereinigten Staaten zu verdrängen und die einzige Supermacht der Welt zu werden.

Alle Technologie, die aus China kommt – ob in China hergestellt oder in China entwickelt – wird von der KPCh kontrolliert“, sagte er.

Die riesige Menge an Daten, die TikTok über seine Nutzer, zumeist junge Amerikaner, sammelt, macht die App nach Ansicht eines anderen Experten zu einem Risiko, da sie zum Ausspionieren von Amerikanern verwendet werden könnte.

„Wenn man ein Land ausspionieren will, warum schickt man dann einen Spion auf die altmodische Art und Weise? Warum schickt man nicht einfach eine großartige App und lässt sie viral gehen?“, sagte Gary Miliefsky, ein Experte für Cybersicherheit und Herausgeber des Cyber Defense Magazine, in einer Erklärung, die der Epoch Times vorliegt.

Mit Material von The Epoch Times



Epoch TV
Epoch Vital
Kommentare
Liebe Leser,

vielen Dank, dass Sie unseren Kommentar-Bereich nutzen.

Bitte verzichten Sie auf Unterstellungen, Schimpfworte, aggressive Formulierungen und Werbe-Links. Solche Kommentare werden wir nicht veröffentlichen. Dies umfasst ebenso abschweifende Kommentare, die keinen konkreten Bezug zum jeweiligen Artikel haben. Viele Kommentare waren bisher schon anregend und auf die Themen bezogen. Wir bitten Sie um eine Qualität, die den Artikeln entspricht, so haben wir alle etwas davon.

Da wir die Verantwortung für jeden veröffentlichten Kommentar tragen, geben wir Kommentare erst nach einer Prüfung frei. Je nach Aufkommen kann es deswegen zu zeitlichen Verzögerungen kommen.


Ihre Epoch Times - Redaktion