- Apps wie Instagram, TikTok und Facebook fügen JavaScript-Code in Websites von Drittanbietern ein, die potenzielle Sicherheits- und Datenschutzrisiken für den Nutzer darstellen
- Wenn Sie von einer App aus auf einen Link zu einer externen Website klicken, kann ohne Ihre Zustimmung Code eingefügt werden, der es der App ermöglicht, jede Schaltfläche oder jeden Link zu überwachen, auf den Sie tippen, jeden Text, den Sie auswählen, jeden Screenshot, den Sie machen, und alles, was Sie auf der Website eingeben
- Beim Vergleich mehrerer iOS-Apps, darunter Amazon, Facebook Messenger und Robinhood, hat es nur TikTok versäumt, den Nutzern die Möglichkeit zu bieten, vom In-App-Browsing zur Verwendung eines externen Browsers zu wechseln, wenn sie Websites von Dritten ansehen.
- Die Muttergesellschaft von TikTok ist ByteDance, die Verbindungen zur Kommunistischen Partei Chinas hat, was bedeutet, dass die Überwachungsfunktionen der App möglicherweise für Wirtschaftsspionagezwecke genutzt werden könnten.
- Egal, welche App Sie verwenden, Sie sollten davon ausgehen, dass Sie von jemandem oder einer Organisation beobachtet werden.
Sie gehen vielleicht davon aus, dass Ihre Privatsphäre gefährdet ist, wenn Sie online Informationen preisgeben, aber selbst das bloße Surfen kann ein Sicherheitsrisiko darstellen, so der Softwareentwickler und Sicherheitsforscher Felix Krause.
Dies gilt insbesondere, wenn Sie durch eine App auf Ihrem Handy scrollen, denn In-App-Browser können praktisch alles überwachen, was Sie tun, einschließlich Ihrer Tastenanschläge, und dabei Kreditkarteninformationen, Passwörter und andere sensible Daten preisgeben.
In-App-Browsing liegt vor, wenn Sie auf Websites von Drittanbietern surfen, die in der App und nicht in einem separaten Browser geöffnet werden. Krause fand heraus, dass das in der TikTok-App initiierte In-App-Browsing einen Java-Script-Code enthält, der es dem Social-Media-Riesen ermöglicht, jede Bildschirmberührung und Texteingabe zu verfolgen.
Protokollieren Social-Media-Apps Ihre Tastatureingaben?
Krause, Gründer von Fastlane, einem Open-Source-Tool für iOS- und Android-Entwickler, veröffentlichte im August 2022 einen Bericht, in dem er vor den Risiken von mobilen Apps mit In-App-Browsern warnte. Er schrieb, dass insbesondere Instagram- und Facebook-Apps „JavaScript-Code in Websites von Drittanbietern einspeisen, der potenzielle Sicherheits- und Datenschutzrisiken für den Nutzer birgt“. Krause erklärt:
Die iOS-App von Instagram und Facebook zeigt alle Links und Anzeigen von Drittanbietern innerhalb ihrer App über einen eigenen In-App-Browser an. Dies birgt verschiedene Risiken für den Nutzer, da die Host-App jede einzelne Interaktion mit externen Websites nachverfolgen kann, von allen Formulareingaben wie Passwörtern und Adressen bis zu jeder einzelnen Berührung.
Das bedeutet, dass Instagram ohne Ihre Zustimmung einen JavaScript-Code einfügt, der es ihnen ermöglicht, jede Schaltfläche oder jeden Link, den Sie antippen, jeden Text, den Sie auswählen, jeden Screenshot, den Sie machen, und alles, was Sie auf der Website eingeben, zu überwachen, wenn Sie z. B. in der Instagram-App auf einen Link zu einer externen Website klicken. Dies geschieht auch, wenn Sie auf eine Werbung in der App klicken. Laut Krause:
Bei 1 Milliarde aktiver Instagram-Nutzer ist die Menge an Daten, die Instagram sammeln kann, indem es den Tracking-Code in jede Website von Drittanbietern einfügt, die von der Instagram- und Facebook-App aus geöffnet wird, atemberaubend. Da Webbrowser und iOS den Nutzern immer mehr Datenschutzkontrollen an die Hand geben, wird klar, warum Instagram daran interessiert ist, den gesamten Webverkehr externer Websites zu überwachen.
In einem aktualisierten Bericht warnt Krause außerdem, dass TikTok alle Tastatureingaben und -tipps in seiner App überwacht:
Wenn Sie einen Link in der TikTok-iOS-App öffnen, wird er in ihrem In-App-Browser geöffnet. Während Sie mit der Website interagieren, zeichnet TikTok alle Tastatureingaben (einschließlich Passwörter, Kreditkarteninformationen usw.) und jedes Tippen auf dem Bildschirm auf, z. B. welche Schaltflächen und Links Sie anklicken.
TikTok iOS zeichnet alle Tastatureingaben (Texteingaben) auf Websites von Drittanbietern auf, die innerhalb der TikTok-App dargestellt werden. Dazu können Passwörter, Kreditkarteninformationen und andere sensible Nutzerdaten gehören … Wir wissen nicht, wofür TikTok das Abonnement verwendet, aber aus technischer Sicht ist dies das Äquivalent zur Installation eines Keyloggers auf Websites von Drittanbietern.
TikTok iOS abonniert jeden Tipp auf eine Schaltfläche, einen Link, ein Bild oder eine andere Komponente auf Websites, die in der TikTok-App dargestellt werden. TikTok iOS verwendet eine JavaScript-Funktion, um Details über das Element zu erhalten, auf das der Nutzer geklickt hat, z. B. ein Bild.
Ein riesiges Risiko für jeden Nutzer
In einer Antwort an Forbes bestätigte TikTok, dass die Funktionen zum Nachverfolgen von Nutzern in ihrem Code vorhanden sind, bestritt jedoch, sie zu verwenden. Krause weist auch darauf hin, dass nur weil eine App den Code in externe Websites einbindet, dies nicht bedeutet, dass sie damit etwas Böses tut. „Es gibt für uns keine Möglichkeit, die vollständigen Details darüber zu erfahren, welche Art von Daten jeder In-App-Browser sammelt, oder wie oder ob die Daten übertragen oder verwendet werden“, sagt er.
In einem Gespräch mit The Guardian bestritt TikTok erneut jegliches Fehlverhalten im Zusammenhang mit seinem invasiven JavaScript-Code und erklärte: „Im Gegensatz zu den Behauptungen des Berichts sammeln wir mit diesem Code keine Tastenanschläge oder Texteingaben, da er ausschließlich zur Fehlersuche, Fehlerbehebung und Leistungsüberwachung verwendet wird.
Dennoch ist allein die Tatsache, dass der Code existiert, ein Warnsignal und ein Hinweis auf die große Menge an Daten, die bei jedem Surfen im Internet über Sie gesammelt werden könnten. Krause merkt an:
Einen Keylogger zu installieren, ist natürlich eine große Sache … laut TikTok ist er derzeit deaktiviert. Das Problem ist, dass sie über die Infrastruktur und die Systeme verfügen, um all diese Tastenanschläge aufzeichnen zu können … das allein ist schon ein großes Problem. Die Tatsache, dass sie dieses System bereits haben, stellt ein großes Risiko für jeden Nutzer dar.
Beim Vergleich mehrerer iOS-Apps, darunter Amazon, Facebook Messenger und Robinhood, versäumte es nur TikTok, den Nutzern die Möglichkeit zu bieten, vom In-App-Browsing zur Verwendung eines externen Browsers zu wechseln, wenn sie Websites von Drittanbietern ansehen. Insgesamt erklärte Uri Gal, Professor für Wirtschaftsinformatik an der Universität Sydney, gegenüber The Guardian:
TikTok hatte die umfangreichsten Überwachungsmöglichkeiten. Viele Menschen, die die App nutzen, sind sich der Überwachung nicht bewusst, die über sie innerhalb der App durchgeführt wird. Die Nutzerbasis von TikTok ist bei Weitem jünger als die von Facebook und Instagram … das macht sie viel angreifbarer.
Gal wies auch darauf hin, dass die Muttergesellschaft von TikTok ByteDance ist, die Verbindungen zur Kommunistischen Partei Chinas hat. Das bedeutet, dass die Überwachungsfunktionen der App potenziell „so viele Informationen wie möglich für Zwecke der Industriespionage und der öffentlichen Meinungsbildung sammeln könnten, die eher ihren Interessen entsprechen“.
Ein Bericht des Cybersicherheitsunternehmens Internet 2.0 bestätigte, dass TikTok „exzessiv Daten sammelt“ und dass die App „mit einer auf dem chinesischen Festland basierenden Infrastruktur verbunden ist“. Während Instagram und Facebook sich ebenfalls des Sammelns von Daten schuldig gemacht haben, stellte Gal fest, dass TikTok aufgrund seiner Verbindungen zu China ebenfalls eine einzigartige Bedrohung für die nationale Sicherheit darstellt.
„Ihre [Instagram und Facebooks] primäre Motivation ist fast rein kommerziell und finanziell“, sagte er, „während es bei TikTok ein Element der nationalen Sicherheit gibt, das bei den anderen meiner Meinung nach nicht direkt vorhanden ist“.
Sammelt Facebook sensible Gesundheitsdaten?
Wenn Sie im Internet surfen, passiert viel im Verborgenen, selbst wenn Sie annehmen, dass Sie sich in einem geschützteren Bereich befinden, z. B. auf der Website eines Krankenhauses oder auf einem passwortgeschützten Portal für Gesundheitsinformationen wie MyChart. Facebook zum Beispiel sammelt möglicherweise sensible Gesundheitsdaten über Pixel, die ohne Ihr Wissen auf den von Ihnen besuchten Websites installiert werden können.
Sie können Informationen über Sie sammeln, während Sie im Internet surfen, auch wenn Sie kein Facebook-Konto haben. Der Meta-Pixel ist ein Stück JavaScript-Code, den Entwickler in ihre Website einbauen können, um die Besucheraktivitäten zu verfolgen.16 Laut Meta:
Dazu wird eine kleine Bibliothek mit Funktionen geladen, die Sie immer dann verwenden können, wenn ein Website-Besucher eine Aktion (ein sogenanntes Ereignis) ausführt, die Sie verfolgen möchten (eine sogenannte Conversion). Verfolgte Konversionen erscheinen im Anzeigenmanager, wo sie zur Messung der Effektivität Ihrer Anzeigen, zur Definition benutzerdefinierter Zielgruppen für die Anzeigenausrichtung, für dynamische Anzeigenkampagnen und zur Analyse der Effektivität der Konversionstrichter Ihrer Website verwendet werden können.
Im Rahmen einer Untersuchung von The Markup wurden Websites der 100 größten US-Krankenhäuser von Newsweek getestet. Das Meta-Pixel von Facebook wurde auf 33 der Websites gefunden und sendet Facebook Informationen, die mit einer IP-Adresse verknüpft sind, die einzelne Computer identifiziert und zu einer Person oder einem Haushalt zurückverfolgt werden kann.
Das Pixel verfolgt nicht nur die IP-Adresse des verwendeten Computers, sondern auch, nach welchen Ärzten gesucht wird und welche Suchbegriffe in Suchfelder eingegeben oder aus Dropdown-Menüs ausgewählt werden. Das Markup berichtet:
Auf der Website des University Hospitals Cleveland Medical Center zum Beispiel führte ein Klick auf die Schaltfläche „Online Termin vereinbaren“ auf der Seite eines Arztes dazu, dass das Meta Pixel den Text der Schaltfläche, den Namen des Arztes und den Suchbegriff, den wir verwendet haben, um sie zu finden, an Facebook sendete: „Schwangerschaftsabbruch“.
Ein Klick auf die Schaltfläche „Jetzt online einen Termin vereinbaren“ für einen Arzt auf der Website des Froedtert-Krankenhauses in Wisconsin veranlasste das Meta Pixel dazu, Facebook den Text der Schaltfläche, den Namen des Arztes und die von uns aus einem Dropdown-Menü ausgewählte Erkrankung zu übermitteln: „Alzheimer“.
Die Daten, auf die Sie bei der Nutzung passwortgeschützter Patientenportale zugreifen, können auch über Pixel an Facebook gesendet werden. The Markup fand das Meta Pixel in Patientenportalen von sieben Gesundheitssystemen, darunter Edward-Elmhurst Health, FastMed, Novant Health und Community Health Network.
Zu den gesammelten Daten gehörten Namen von Medikamenten, die eingenommen werden, Beschreibungen von allergischen Reaktionen und anstehende Arzttermine. Novant Health, das den Pixel entfernte, nachdem es von The Markup kontaktiert worden war, erklärte: „Wir wissen es zu schätzen, dass Sie sich an uns gewandt und diese Informationen geteilt haben. Die Platzierung unseres Meta-Pixels wird von einem Drittanbieter gesteuert und wurde entfernt, während wir die Angelegenheit weiter untersuchen.
Seien Sie vorsichtig mit YouTube und TikTok
Die Lektion, die wir lernen müssen, ist, dass Sie unabhängig von der App, die Sie verwenden, davon ausgehen sollten, dass Sie von jemandem oder einer Einrichtung beobachtet werden könnten. Es ist wichtig, sich daran zu erinnern, dass das Internet von der Regierung als Werkzeug zum Ausspionieren der Bürger geschaffen wurde. Wenn Sie mehr über die wenig bekannten Anfänge des Internets erfahren möchten, empfehle ich Ihnen die Lektüre des Buches „Surveillance Valley: The Secret Military History of the Internet“ von Yasha Levine.
Levine, ein Enthüllungsjournalist, enthüllt, dass das Internet in der Vietnam-Ära begann und dazu diente, Guerillakämpfer und Kriegsgegner auszuspionieren, „ein militärisches Computernetzwerkprojekt, das letztlich die Schaffung eines globalen Überwachungs- und Vorhersagesystems vorsah“. Die militärischen Überwachungsziele, die der Entwicklung des Internets zugrunde lagen, sind jedoch auch heute noch in Kraft.
Die zunehmende Digitalisierung der Gesellschaft hat zur Folge, dass es schwierig ist, seine Privatsphäre online zu wahren, egal welche Website oder App man benutzt. Es scheint jedoch einige besonders ungeheuerliche Übeltäter zu geben – darunter TikTok und YouTube. Eine Studie von URL Genius untersuchte 200 Apps aus 20 verschiedenen Kategorien und stellte fest, dass die meisten Apps selbst bei sehr geringer Nutzung umfangreiche Datenspuren hinterlassen.
Ferner kann das Tracking auf anderen Websites fortgesetzt werden, auch wenn Sie die App nicht mehr nutzen. Die durchschnittliche Anzahl der Netzwerkkontakte pro App lag bei sechs, bei YouTube und TikTok stieg diese Zahl auf, obwohl die tatsächliche Zahl bei Nutzern, die in den Apps angemeldet sind, wahrscheinlich noch höher ist.
Von den Trackern bei YouTube stammten vier von Drittanbieter-Domains – also von externen Parteien, die Informationen und Nutzeraktivitäten sammeln. Bei TikTok stammten 13 der 14 Netzwerkkontakte von Drittanbietern. Wie von URL Genius festgestellt:
Verbraucher, die nicht zugestimmt haben, dass ihre Daten verfolgt werden, werden durch die Anzahl der Drittanbieter-Netzwerke, die von Apps kontaktiert werden, alarmiert sein – selbst bei minimaler Nutzung der App. Die Verbraucher sind derzeit nicht in der Lage zu sehen, welche Daten mit Drittanbieternetzwerken geteilt oder wie ihre Daten verwendet werden … Die Verbraucher haben derzeit nicht die Möglichkeit, potenzielle Tracker zu deaktivieren – ihre Optionen sind entweder die Nutzung der App oder die Nichtnutzung.
Krause hat ein Sicherheitstool – InAppBrowser.com – entwickelt, mit dem man herausfinden kann, was Apps verfolgen, wenn man ihre In-App-Browser benutzt, aber die sichere Vermutung ist, dass es eine Menge ist. Um einen Teil Ihrer Online-Privatsphäre zurückzugewinnen, sowohl für Sie selbst als auch für Ihre Kinder, können Sie YouTube und TikTok ganz meiden und auch diese Tipps ausprobieren:
- Schaffen Sie Gmail ab. Wenn Sie ein Gmail-Konto haben, probieren Sie stattdessen einen E-Mail-Dienst aus, der nicht von Google stammt, z. B. ProtonMail, ein verschlüsselter E-Mail-Dienst mit Sitz in der Schweiz.
- Deinstallieren Sie Google Chrome und verwenden Sie stattdessen den Browser Brave, der für alle Computer und Mobilgeräte verfügbar ist. Er blockiert Werbung und schützt Ihre Privatsphäre.
- Wechseln Sie die Suchmaschine. Versuchen Sie stattdessen die Suchmaschine Brave.
- Vermeiden Sie Android. Google-Telefone und Telefone, die Android verwenden, verfolgen praktisch alles, was Sie tun, und schützen Ihre Privatsphäre nicht. Es ist möglich, Ihr Handy zu entgoogeln, indem Sie sich ein Android-Handy ohne Google-Betriebssystem zulegen, aber Sie müssen einen erfahrenen IT-Spezialisten finden, der die Festplatte Ihres Handys neu formatieren kann.
- Vermeiden Sie Google Home-Geräte. Wenn Sie einen intelligenten Google Home-Lautsprecher oder die Smartphone-App Google Assistant besitzen, besteht die Möglichkeit, dass andere Personen Ihre Anfragen abhören, und zwar auch dann, wenn Sie es nicht erwarten.
- Löschen Sie Cache und Cookies. So können Sie sich von invasiven Computercodes befreien, die verfolgen, was Sie online tun.
- Verwenden Sie einen Proxy oder ein VPN (Virtual Private Network). Dieser Dienst schafft eine Pufferzone zwischen Ihnen und dem Internet und „täuscht viele Überwachungsfirmen darüber hinweg, dass Sie nicht Sie selbst sind“.
Artikel per PDF:
Quellen:
- 1, 10, 28 ABC.net.au August 21, 2022
- 2, 6, 8 Felix Krause August 18, 2022
- 3, 4, 5 Felix Krause August 10, 2022
- 7 Forbes August 18, 2022
- 9, 11, 12, 14 The Guardian August 24, 2022
- 13 Internet 2.0, It’s Their Word Against Their Source Code — TikTok Report
- 15, 18, 19, 20 The Markup June 16, 2022
- 16, 17 Meta for Developers, Meta Pixel
- 21, 22 SurveillanceValley.com
- 23 URL Genius January 20, 2022
- 24, 25 CNBC February 8, 2022
- 26 URL Genius January 20, 2022, Why it Matters
- 27 InAppBrowser.com
- 29 Medium March 17, 2017
