TikTok: Heftige Spionage-Vorwürfe von Sicherheitsforscher

TikTok: Das Video-Netzwerk aus China muss sich heftige Kritik gefallen lassen. Der App-eigene Browser soll Nutzereingaben aufzeichnen. Platz 1 im App Store von Apple in der Kategorie Unterhaltung und dies trotz massiver Sicherheitsbedenken – für TikTok läuft es gut.

Daran wird vermutlich auch der Sicherheitsforscher Felix Krause nichts ändern, der laut technischen Untersuchungen festgestellt haben will, dass der in der App integrierte Browser JavaScript-Code in externe Webseiten einschleusen kann, um derart dem chinesischen Unternehmen die Möglichkeiten an die Hand zu geben, „alle Tastatureingaben und Taps“ bei der Verwendung einer Website zu überwachen.

TikTok erntet massive Kritik von Sicherheitsforscher

Das Unternehmen aus China hat in einer Stellungnahme gegenüber Forbes zwar bestätigt, dass der Code derartige Funktionen enthalte, die man aber nicht nutzen würde. Die Sprecherin der Video-App erklärte in ihrer Stellungnahme: „Wie andere Plattformen verwenden wir einen In-App-Browser, um ein optimales Nutzererlebnis zu bieten, aber der fragliche Javascript-Code wird nur für die Fehlersuche, Fehlerbehebung und Leistungsüberwachung dieses Erlebnisses verwendet, zum Beispiel, um zu überprüfen, wie schnell eine Seite geladen wird oder ob sie abstürzt.“

Felix Krause hatte zuvor auf seiner eigenen Internetseite über die Verwendung von JavaScript-Befehlen in In-App-Browsern verschiedener Plattformen berichtet. Auch Anwendungen wie Instagram und Facebook „speisen JavaScript-Code in Websites von Drittanbietern, der potentielle Sicherheits- und Datenschutzrisiken für den User birgt“, so Krause.

Video-Dienst kann Passwörter auslesen und speichern

TikTok bietet keinerlei Möglichkeiten, Links in externen Browsern zu öffnen, sei durch die Technologie jedoch zumindest theoretisch in der sensible Nutzerdaten wie Passwörter oder Kreditkartendaten auszulesen. Der Sicherheitsforscher empfiehlt allen Nutzern, die diesen potentiell schädlichen JavaScript-Code in In-App-Browsern umgehen wollen, dazu überzugehen, einen bestimmten Link im Standardbrowser des Systems anzuzeigen, beispielsweise in Safari auf dem iPhone oder iPad.

„Wann immer Sie einen Link aus einer App öffnen, prüfen Sie, ob die App eine Möglichkeit bietet, die aktuell angezeigte Website in Ihrem Standardbrowser zu öffnen. Während dieser Analyse bot jede App außer TikTok eine solche Möglichkeit an.“