TikTok: Passwörter vor Zugriff schützen – so geht das richtig!

TikTok: Passwörter vor Zugriff schützen – so geht das richtig! TikTok kann Passwörter mitlesen. So können Nutzer das verhindern! Der Video-Dienst aus China ist zurzeit leider für schlechte Nachrichten gut. Die TikTok-App kann durch eine spezielle Funktion die Eingaben und Daten von Nutzern auslesen – darunter auch Passwörter und Kreditkartendaten. D
er illegale Trick der beliebten Video-App funktioniert mit dem In-App-Browser, mit dem Nutzer Links direkt innerhalb der Applikation öffnen können. Der ehemalige Google-Ingenieur Felix Krause warnt vor einem mysteriöser Code innerhalb der Video-App. „Wenn man eine Website in der TikTok-App öffnet, injiziert Tiktok einen Tracking Code, der alle Tasteneingaben und Bewegungen überwacht – inklusive Passwörtern“, schreibt Krause laut einem Bericht von Abendblatt.

Möglich wäre dies, da TikTok über die Programmiersprache Javascript entsprechende Befehle in all jene Websites eingebe, die Nutzer direkt über die App statt über ihren normalen Internet-Browser aufrufen. So erfährt das chinesische Unternehmen direkt, was die Anwender Websites tun. Dazu gehören auch Passwörter und Kreditkartendaten, die sie eingeben. Für einen Zufall hält Krause die Vorgehensweise nicht. „Es ist ein erheblicher Zeitaufwand, einen eigenen In-App-Browser zu programmieren und zu warten“, schreibt der Entwickler.

Für Unternehmen sei es daher viel einfacher, den auf den Schutz der Privatsphäre ausgelegten iPhone-eigenen Browser zu nutzen. Dass der Konzern aus China dies nicht tut, wird Gründe haben. „Höchstwahrscheinlich hat die Firma eine Motivation, die Aktivitäten auf den Webseiten zu tracken“, resümiert Krause. In einer Analyse hatte er solche Codes bei mehreren Apps entdeckt – unter anderem bei Facebook und Instagram.

In einer Stellungnahme gegenüber Forbes erklärte eine Unternehmenssprecherin, der betreffende Javascript-Code diene lediglich zur Nutzeroptimierung der über die App besuchten Websites. So könne das Unternehmen beispielsweise herausfinden, ob Websites ungewöhnlich lange laden oder sogar abstürzen. Zudem sei der Code Teil einer Drittanbieter-Software, die Tiktok für die Instandhaltung der Applikation nutze.

Allerdings nutze Tiktok nicht alle der Software-Funktionen. Weitere Fragen dazu, so Forbes, habe die Unternehmenssprecherin nicht beantworten wollen. Nur soviel: „Genau wie andere Plattformen auch nutzen wir einen In-App-Browser, um den Nutzern und Nutzerinnen eine optimale Erfahrung anzubieten“, so die Sprecherin. Tatsächlich hatte Krause zuvor bereits bei anderen Plattformen Bedenken geäußert.

Am 10. August 2022 hatte Krause in einer Analyse bereits hervorgehoben, dass auch der Konzern Meta über den In-App-Browser auf der Iphone-Version mehrerer Apps Eingaben tracken könne. Dazu gehören Instagram und Facebook für das Betriebssystem iOS. Klicken User und Userinnen in den Instagram- oder Facebook-Apps auf einen Link, öffnen sie diesen ebenfalls nicht im Standard-Browser, sondern in dem sogenannten Webkit-Derivat mit dem Javascript-Code. Darüber hat Meta wie Tiktok ein Trackingpotenzial für alle weiteren Eingaben.

Auch Meta betonte anschließend, lediglich Daten zum Nutzungsverhalten zu erheben – etwa um zu sehen, ob eine Person ein Produkt nach dem Anklicken eines Links auch kauft. Meta respektiere die App-Tracking-Transparenz (ATT) und speichere Zahlungsinformationen lediglich mit der Zustimmung der Nutzenden, zum Beispiel, wenn diese die Daten bei der nächsten Nutzung automatisch einfüllen wollen.

Krause hebt hervor, dass auch er nicht weiß, wozu die Konzerne die Daten tatsächlich nutzen und welche Informationen sie genau zurückhalten. Er habe lediglich das Gefahrenpotenzial hervorheben wollen, erklärt er. Passend dazu informiert er Nutzer auch darüber, wie sie sich schützen können. Zum Einen empfiehlt Krause, Links im Default-Browser des Smartphones zu öffnen.

Die meisten Apps bieten beim Klicken auf In-App-Links eine Möglichkeit an, diese im regulären Browser auszuspielen. „Bis auf Tiktok bietet jede App eine solche Option an“, schreibt Krause auf Twitter. Zudem hat Krause selbst ein Tool entwickelt, mit dem Nutzer prüfen können, ob der In-App-Browser die Websites mit neuem Code anreichert. Wer über eine der Apps den Link InAppBrowser.com öffnet, kann direkt überprüfen, ob die App weitere Codes in die Seiten injiziert.