Theoretisch könnten die Facebook- und Instagram-Apps ziemlich alles mitlesen, was die Nutzer auf einer in ihren Apps geöffneten Webseite so treiben. Schmuggeln sie doch über den eigenen In-App-Browser zusätzlichen Code ein, der ein recht umfassendes Tracking ermöglichen würde. Mit dieser Entdeckung sorgte der Wiener Softwareentwickler Felix Krause in der Vorwoche für einiges Aufsehen – der STANDARD berichtete.

Ganz neu ist die Erkenntnis, dass sich mit In-App-Browsern allerlei Unfug treiben lässt, nicht. Experten haben die Verwendung solcher Komponenten immer wieder kritisiert, da sie dem Hersteller einen sehr weitreichenden Zugriff auf das Geschehen bei aufgerufenen Webseiten geben. Krause hat nun aber belegt, dass das keine Theorie ist, sondern Meta solche Manipulationen sowohl bei der Facebook-App als auch beim Facebook Messenger und Instagram vornimmt.

Selbst prüfen

Das wirft natürlich logischerweise die Frage auf: Wie sieht es mit anderen Apps aus? Genau diese Frage soll ein neues Tool klären, das Krause nun veröffentlicht hat. Über die Webseite InAppBrowser.com können interessierte Nutzer und Nutzerinnen selbst herausfinden, ob der In-App-Browser eines Programms zusätzlichen Javacscript-Code einschmuggelt – oder eben nicht.

Der Testablauf ist dabei recht einfach. Es reicht, die Adresse der Seite irgendwo in der App zu posten – etwa in einer direkten Nachricht –, um dann auf den Link zu klicken. Anschließend liefert die Seite eine Auswertung der Aktivitäten der jeweiligen App. Dabei wird nicht nur analysiert, ob der jeweilige In-App-Browser zusätzlichen Code einschmuggelt, sondern auch ob die Seite zusätzliche Metadaten anfragt. Der Code für das Web-Tool ist als Open Source auf Github frei zugänglich.

Nur Tiktok ist noch schlimmer

Krause hat diese Tests bereits mit einigen beliebten iPhone-Apps durchgeführt. Dabei zeigt sich: Schlimmer als Facebook ist eigentlich nur Tiktok. Die Social-Media-App schmuggelt auf diesem Weg Code ein, der jede Tasteneingabe und sämtliche Touch-Inputs haarklein mitprotokollieren kann.

Doch im Gegensatz zu den Facebook-Apps geht Tiktok noch einen Schritt weiter. Wo Instagram und Co es zumindest erlauben, auf externe Seiten gehende Links alternativ mit einem externen Browser zu öffnen, ist das bei Tiktok nicht möglich. Genau das ist aber bei den kritisierten Meta-Apps ein empfohlener Ausweg, um solchen Manipulationen zu entgehen.

Reaktion

Mit dieser Erkenntnis konfrontiert, bestätigt Tiktok die Entdeckungen des Softwareentwicklers. Tatsächlich gebe es den besagte Code, der beim Besuch von Webseiten über den In-App-Browser hinzugefügt werde. Allerdings werde dieser nicht für das Ausspionieren der User und ihrer privaten Daten genutzt, versichert Hersteller Bytedance in einer Stellungnahme gegenüber Forbes. Vielmehr diene das Ganze nur Analysezwecken, etwa um Probleme zu untersuchen.

Eine ähnliche Reaktion gab es schon in der Vorwoche von Meta, auch wenn die Argumentation für die Existenz des zusätzlichen Tracking-Codes leicht anders ausfiel. Der besagte Code sei gar nicht zum Tracken da, ganz im Gegenteil solle er garantieren, dass die "App Tracking Transparency" von Apple respektiert wird, hieß es damals. Dieses mit iOS 14.5 eingeführte Privacy-Feature verpflichtet App-Hersteller dazu, vor der Weitergabe von Nutzerdaten an Dritte eine explizite Genehmigung der Betroffenen einzuholen.

Instagram macht noch mehr als bisher bekannt

Warum dafür das Einfügen eines eigenen Stücks Code mit weitreichendem Tracking-Potenzial notwendig ist und wieso das dann auch unter Android gemacht wird – wo es die ATT gar nicht gibt –, sind Nachfragen, die das Unternehmen bis heute unbeantwortet lässt. Zudem hat der Softwareentwickler mittlerweile Belege für zusätzliche Tracking-Aktivitäten bei Instagram gefunden. So soll die App auch alle Touch-Aktivitäten auf externen Webseiten im Detail erfassen.

Wichtiger Hinweis

Krause selbst betont auch dieses Mal wieder, dass er keinen Beleg dafür liefern kann, dass Tiktok oder Meta auf diesem Weg tatsächlich sensible Daten einsammeln. Welche Informationen an den Hersteller übertragen werden, ist für Außenstehende durch mehrere Ebenen an Verschlüsselung nämlich nicht einsichtig. Allerdings wirft die pure Existenz dieses Codes natürlich die Frage auf, wieso man sich die zusätzliche Entwicklungsarbeit für einen eigenen In-App-Browser antut, nur um dann solch einen Tracking-Code nicht aktiv zu verwenden.

Gegenüber dem STANDARD betont Krause zudem, dass die Existenz dieses Codes natürlich bedeutet, dass der Hersteller eine entsprechende Überwachung jederzeit aktivieren könnte – selbst wenn er sie jetzt tatsächlich nicht nutzen sollte. Denkbar wäre auch, dass externe Stellen wie Polizei oder Geheimdienste hier Druck in Richtung einer entsprechenden Datensammlung machen.

Andere Hersteller verzichten auf solche Tricks

Zumal andere große Hersteller vorzeigen, dass es auch ohne solche Sonderwege geht, wie sich mit dem neuen Tool von Krause nun leicht nachvollziehen lässt. So verzichten etwa die Apps von Google und Microsoft auf entsprechende Manipulation und verwenden entweder eine unmodifizierte Webansicht von Apple selbst oder nutzen gleich externe Browser. Dasselbe Ergebnis ergibt eine Prüfung von Slack, Reddit oder Twitter.

Snapchat und Amazon nutzen hingegen sehr wohl eigene In-App-Browser, verzichten aber auf das Einfügen von eigenem Code auf darüber angezeigte Webseiten. Allerdings nutzt Amazon die Gelegenheit, zusätzliche Metadaten einzusammeln. (Andreas Proschofsky, 19.8.2022)