Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

TikTok umgeht Apples Anti-Tracking – und kann Passwörter ausspionieren

TikTok ist ein vor allem in den Vereinigten Staaten äußerst umstrittener Dienst. Das soziale Videonetzwerk des chinesischen Konzerns ByteDance ist dortigen Politiker und auch Behörden sehr suspekt, die Federal Communications Commission (FCC) forderte Apple und Google im Juni dieses Jahres sogar auf, die Anwendung aus iOS App Store und Play Store zu entfernen (siehe ). Die Bedenken sind offenbar nicht unbegründet, wie sich jetzt herausstellt: TikTok nutzt nämlich einen In-App-Browser, mit welchem Nutzer umfänglich ausspioniert werden können.


TikTok-App kann alle Aktivitäten aufzeichnen
Der bekannte Sicherheitsforscher Felix Krause meldete vor einigen Tagen, dass Facebook und Instagram mit dieser Methode Apples Anti-Tracking-Maßnahmen aushebeln können – und das wohl auch tun (siehe ). Jetzt analysierte der Experte die TikTok-App und fand heraus, dass diese die Nutzer noch wesentlich intensiver ausschnüffelt als die Töchter des Meta-Konzerns. Die Anwendung des chinesischen Videonetzwerks enthält ebenfalls einen In-App-Browser und injiziert eigene Javascript-Routinen in den Code jeder Webseite, welche damit aufgerufen wird. Die App ist dadurch in der Lage, alle Aktivitäten des Nutzers aufzuzeichnen. Das betrifft Krause zufolge nicht nur das Antippen von Buttons und den Aufruf von Links, sondern auch die Betätigung von Tasten auf der Bildschirmtastatur des iPhones.

Ausschnüffeln von Passwörter und Kreditkartendaten möglich
Der Sicherheitsexperte betont ausdrücklich, dass es sich bei dieser Funktion nicht um ein Versehen oder einen Fehler handelt. Das Einbauen einer solchen Maßnahme sei alles andere als trivial, schreibt er in einem Blogbeitrag, und daher eine bewusste Entscheidung gewesen. Für die Nutzer stellt die Schnüffelei eine große Gefahr dar: TikTok ist dadurch nämlich in der Lage, an äußerst sensible persönliche Informationen zu gelangen, beispielsweise Zugangspasswörter oder Kreditkartendaten. Ob TikTok tatsächlich Daten abgegriffen hat, ist nicht bekannt. Das chinesische Unternehmen betonte gegenüber Forbes, bei dem in der App verwendeten Code handele es sich nicht um Schadsoftware. Die Javascript-Routinen dienten lediglich Debugging und Fehlerbehebung sowie der Leistungsüberwachung. Nutzer der App sollten sich darauf allerdings besser nicht verlassen und Links aus Sicherheitsgründen stets mit Safari öffnen. Hierzu übergibt man die URL mittels Copy&Paste an Apples Browser.

Kommentare

cy2u519.08.22 10:54
Der ergänzende Artikel unter diesem Beitrag behauptet das selbige auch von der facebook und Instagram App. Da hat sich wohl auch nix getan.
0
Rosember19.08.22 11:11
Niemals Apps von Anbietern installieren, die dich als Ware betrachten.
+17
DasFaultier19.08.22 11:12
Klingt doch spitze, aber ja TikTok sammelt keine Daten ist klar, wem dass nicht klar ist dem ist nicht mehr zu helfen. Ich erwarte von Apple sowas zu blockieren. Dass geht mal gar nicht. Sollten Sie das nicht tun, ist Apple kein Dolch besser...
-8
Aineko19.08.22 11:19
Javascript != Java. Korrigiert das bitte....
+8
Kronar (back)19.08.22 11:54
Wie heisst es doch so schön: There is no free lunch! Und was für die Kasinos in Las Vegas gilt, gilt auch für die Nutzung sozialer Mediendienste...
+6
tjost
tjost19.08.22 12:14
und das ist jetzt überraschend?
+3
trigunas10819.08.22 12:39
wer solche InApp Browser benutzt ist schon fast selbst dran schuld aber von Apple sollte man erwarten können das so was im Review Prozess entdeckt wird und nicht gestattet. so viel zum Thema alternative AppStores wären eine Gefahr für die Nutzer
+6
schallundrauch19.08.22 12:45
Wer seine Passwörter einfach so irgendwo eingibt, tut das gleiche, der andere Dinge ohne Schutz irgendwo reinsteckt ....

Apple sollte In-App-Browser komplett verbieten, ggf. sogar über ein spezielles Entitlement für die Nutzung von UIWebView / WKWebView nachdenken.

Als schönen Nebeneffekt würde das die Pseudo-Apps eliminieren, die nix als eine Website sind, die man im App Store herunterladen kann.
+9
strateg
strateg19.08.22 13:06
schallundrauch

meine rede
cuntentientscha, attentivitad, curaschi —
+1
Dupondt19.08.22 13:12
Aineko
Javascript != Java. Korrigiert das bitte....

Vielen Dank für den Hinweis, ist berichtigt.
+2
TiBooX
TiBooX19.08.22 13:36
Kronar (back)
Wie heisst es doch so schön: There is no free lunch! Und was für die Kasinos in Las Vegas gilt, gilt auch für die Nutzung sozialer Mediendienste...

FALSE.

ich habe in Natches ein Casinoschiff - mit einem Gutscheinheft vom Motel - besucht.
Das Sehr gute Essen war extremst günstig (Schutzgebühr gegen Verschwendung), ein T-Shirt und diverse Automatenvarianten waren (wenigstens 1-Spiel) frei. Den Gewinn durfte man behalten!
Klar gab es keine Fenster und Uhren im Casino, aber man war auch nicht eingesperrt.
Statistisch rechnet sich diese Werbung trotzdem für den Betreiber, sogar OHNE MEINE PRIVATSPHÄHRE AUSZUSPANNEN.
Grüsse nach Essen.
People who are really serious about software should make their own hardware [A. Kay]
-12
ttwm19.08.22 14:01
Dupondt
Aineko
Javascript != Java. Korrigiert das bitte....

Vielen Dank für den Hinweis, ist berichtigt.
Gibt am Ende noch eine zweite Stelle mit der Verwechslung.
0
jmh
jmh19.08.22 14:02
ich bin empoert! war ich doch bisher der annahme, dass es sich hierbei um eine altruistische fun-app handelt!
wir schreiben alles klein, denn wir sparen damit zeit.
+3
Apfel
Apfel19.08.22 14:21
Ich bin ja froh, dass Apple den Appstore hat, und uns damit vor solchen Dingen schützt. Und auch das schnelle Eingreifen von Apple betont hier das hohe Sicherheitsdenken. Das liegt klar am Monopol, sonst könnte dieses sympathische Unternehmen nie so souverän handeln.

Muss ich jetzt diesen komischen Smiley anhängen um das verständlich zu machen …
+2
eyespy3919.08.22 20:36
Um jenes Maß an Kontrolle auszuüben, müsste die In-App-Browserfunktionalität per AppStore-Regel zunächst verboten werden (oder aber sichergestellt, dass sie nur über Safari/WebKit incl. Apples Tracking-Sperren etc. geht). Das nehme ich jedenfalls an - oder ist das schon so?
Ich ahne schon, dass dann die Schelte kommt, wieso Apple die Wahlfreiheit der Entwickler und der mündigen Anwender einschränkt…
+2
Apfel
Apfel19.08.22 23:37
Es geht aber hier doch um sehr viel mehr wenn ich den Artikel richtig gelesen habe. Und genau davor soll uns die dicke Marge von Apple schützen.
-2
Nebula
Nebula20.08.22 04:03
Wie sieht's eigentlich mit der MacTechNews-App aus? 😈
»Wir werden alle sterben« – Albert Einstein
+1

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.