Bild: Shutterstock

TikTok kann alles mitlesen – sogar Passwörter

Samuel Buchmann
Zürich, am 19.08.2022

TikTok kann in seinem In-App-Browser anscheinend jeden Klick und jeden Tastaturanschlag aufzeichnen, inklusive Passwörter und Kreditkarteninformationen. Das Unternehmen selbst sagt, die technische Möglichkeit bestehe zwar, werde aber nicht genutzt.

Wer in TikToks In-App-Browser Links öffnet oder Text eingibt, muss damit rechnen, dass jede Berührung des Bildschirms aufgezeichnet werden kann. Das zeigt eine Analyse des Datenschutzforschers Felix Krause, der den Code der iPhone-App untersucht hat. Anscheinend öffnet der Browser nicht einfach die Webseite, sondern injiziert zusätzlich einen eigenen Javascript-Code, mit dem TikTok sehen kann, was genau Nutzer machen. Ob das gleiche auch für die Android-Version der App gilt, ist noch unklar.

«Wir wissen nicht, wozu TikTok diese Funktion nutzt. Technisch gesehen ist es nichts anderes als ein Keylogger auf Webseiten von Dritten», schreibt Krause. Damit kann das chinesische Unternehmen theoretisch jede Eingabe aufzeichnen, auch Passwörter oder Kreditkarteninformationen. Zusätzlich brisant: Anders als in den Apps von Facebook oder Instagram haben Nutzer bei TikTok keine direkte Möglichkeit, Links stattdessen im Standardbrowser des Handys zu öffnen. Ausserdem zeichnen die In-App-Browser der Meta-Apps zwar auch jeden Klick auf Links auf, aber zumindest keine Tastaturanschläge.

TikTok: «Wir sammeln keine Passwörter»

Diesen Code zu implementieren muss laut Krause eine bewusste Entscheidung von TikTok gewesen sein: «Das ist ein erheblicher Entwicklungsaufwand, der nicht aus Versehen oder zufällig passiert.» Ob TikTok den Code tatsächlich zum Sammeln von Daten nutzt, ob Daten an Server des Unternehmens oder an Drittanbieter geschickt werden, weiss Krause nicht.

TikTok selbst weist die Vorwürfe, Passwörter aufzuzeichnen gegenüber dem Wirtschaftsmagazin Forbes vehement von sich: «Wie andere Plattformen nutzen wir einen In-App-Browser, um Nutzern das optimale Erlebnis zu bieten. Der Javascript-Code wird nur genutzt für die Behebung von Bugs und um die Leistung des Browsers zu überprüfen.» Das Unternehmen sagt, der Code sei Teil eines Softwareentwicklung-Kits eines Drittanbieters – Rückfragen, wer dieser Drittanbieter ist, blieben unbeantwortet.

79 Personen gefällt dieser Artikel


User Avatar
User Avatar

Mein Fingerabdruck verändert sich regelmässig so stark, dass mein MacBook ihn nicht mehr erkennt. Der Grund: Wenn ich nicht gerade vor einem Bildschirm oder hinter einer Kamera hänge, dann wahrscheinlich an meinen Fingerspitzen mitten in einer Felswand.


Security
Folge Themen und erhalte Updates zu deinen Interessen

Smartphone
Folge Themen und erhalte Updates zu deinen Interessen

Diese Beiträge könnten dich auch interessieren

  • Skeleton Loader

    Skeleton Loader

  • Skeleton Loader

    Skeleton Loader

  • Skeleton Loader

    Skeleton Loader