Online Tool zeigt, welche Apps euch ausspionieren!

Vor einiger Zeit haben wir darüber berichtet, wie sich manche Apps den eignen In-App-Browser zunutze machen, um die User beim Öffnen von Webseiten mittels eines Tracking-Codes zu überwachen. Eine zentrale Rolle spielten dabei die sozialen Netzwerke Facebook und Instagram, die erwiesenermaßen von der zweifelhalften Methode Gebrauch machen. Mithilfe eines kostenlosen Online Tools lässt sich jedoch auch jede andere App auf ihre Tracking-Neigung hin abklopfen.

Wie Facebook & Co. ihre Nutzer überwachen

Apps wie Facebook sehen sich seit Jahren dem Vorwurf ausgesetzt, ein übermäßiges Interesse an den Daten der eigenen Nutzer zu haben. Dass an der Kritik auch etwas dran ist, hat zuletzt der Bericht des Sicherheitsforschers Felix Krause eindrucksvoll offengelegt. Demnach modifizieren Social-Media-Apps wie Facebook, Instagram und TikTok im eigenen In-App-Browser geöffnete Webseiten mit einem Tracking-Code, sodass nahezu alles, was der Nutzer auf der Seite macht, überwacht werden kann.

Beispiel: Klickt man auf einen Link in der Facebook-App, wird die Seite nicht in Apples Safari-Browser, sondern standardmäßig in der Web-Ansicht von Facebook geöffnet. Dabei wird ein spezieller JavaScript-Code in die Webseite eingefügt, der Facebook das Mitlesen aller Eingaben und Interaktionen ermöglicht. Das können z. B. Passwörter, Formulareingaben, Kreditkartennummern, angetippte Buttons und Links sein.

Um sich vor derartigen Überwachungsmaßnahmen zu schützen, hat der Sicherheitsexperte ein kostenloses Online Tool bereitgestellt, mit dem sich mögliche Spionage-Aktivitäten von Apps aufdecken lassen. Die nachfolgende Tabelle zeigt, welche Apps im Rahmen der Analyse bereits untersucht wurden und wie sie dabei abschnitten. Demnach präparieren TikTok, Facebook, Facebook Messenger und Instagram die in ihren Apps geöffneten externen Webseiten mit einem Tracking-Code.

Online Tool deckt App-Spionage auf

Das Anti-Spionage-Tool stellt fest, ob beim Öffnen einer Webseite in einer App schädliche JavaScript-Befehle eingefügt wurden, die der Überwachung der Nutzeraktivitäten auf der Seite dienen. Ihr könnt es wie folgt auf eurem iPhone nutzen:

1. Öffnet eine App, die Ihr analysieren möchtet.
2. Gebt die URL https://InAppBrowser.com irgendwo innerhalb der App ein, z. B. indem ihr sie als Nachricht an einen Freund schickt oder sie in eurem Feed postet.
3. Tippt dann auf den Link innerhalb der App, um sie zu öffnen.
4. Lest den Bericht, der auf eurem Bildschirm erscheint.

Ein gelb hinterlegter Text deutet darauf hin, dass kein verdächtiger Code entdeckt wurde. Bei einem rot hinterlegten Text mit den Worten „JavaScript injection detected, with some potentially dangerous commands“, sollten jedoch die Alarmglocken angehen. Im Text weiter unten steht dann auch geschrieben, welche Eingaben und Interaktionen auf der Seite erfasst werden.

Was ihr nun tun könnt: Meidet die Webansicht innerhalb der App und öffnet Internetseiten immer im Safari-Browser, wenn ihr über ein entsprechendes Kontextmenü die Möglichkeit dazu habt. Alternativ könnt ihr die Adresse des Links kopieren und in einem beliebigen anderen Browser einfügen und öffnen. Ihr könnt aber auch anstelle der App die mobile Webversion von Facebook, Instagram & Co. nutzen, die einen ähnlichen Funktionsumfang bieten.

(Text- und Bildquelle: Felix Krause)