Rede von Holocaust-Überlebender Vera Sharav in Nürnberg, 20. August 2022 „Nie Wieder ist Jetzt!“
Ab Mittwoch verschärfte Diskriminierung Genesener – Demo vor Gesundheitsministerium
Manche In-App Browser können mitlesen – Beispiel TikTok
Letzte Woche hat Felix Krause einen Bericht über die Risiken von mobilen Apps mit In-App-Browsern veröffentlicht. Einige Apps, wie Instagram und Facebook, injizieren JavaScript-Code in Websites von Drittanbietern, die potenzielle Sicherheits- und Datenschutzrisiken für den Nutzer darstellen.
Daten sind bekanntlich das Erdöl und Erdgas des 21. Jahrhunderts. Mit der Verbreitung der Smartphones hat die Ausspähung und Datensammlung enorm zugenommen. Schädliche Software kann Daten von Kreditkarten. Passworte und viele andere private Information mitlesen. Ein Problem stellt dabei die Tastatur dar. Zum Beispiel erhält man diese Warnung, schon bei der Installation von Microsofts Swiftkey:
Krause hat ein kleines Tool produziert, das eine Information liefert was Apps in deinen Webviews tun. Er stellt InAppBrowser.com vor, ein einfaches Tool, das die JavaScript-Befehle auflistet, die von der iOS-App ausgeführt werden, die die Seite rendert.
Um dieses Tool selbst auszuprobieren:
- Öffnen Sie eine App, die Sie analysieren möchten.
- Teilen Sie die URL https://InAppBrowser.com irgendwo innerhalb der App (z. B. per DM an einen Freund oder in Ihrem Feed)
- Tippen Sie auf den Link innerhalb der App, um sie zu öffnen
- Lesen Sie den Bericht auf dem Bildschirm
Der In-App-Browser von TikTok, der Code einschleust, um alle Tipp- und Tastatureingaben zu beobachten, die Passwörter und Kreditkarten enthalten können
Krause hat mit diesem Tool begonnen, die beliebtesten iOS-Apps zu analysieren, die einen eigenen In-App-Browser haben. Er hat alle iOS-Browser von Drittanbietern (Chrome, Brave usw.) ausgeschlossen, da sie JavaScript verwenden, um einige ihrer Funktionen anzubieten, z. B. einen Passwortmanager. Apple verlangt von allen iOS-Browser-Apps von Drittanbietern, dass sie die Safari-Rendering-Engine WebKit verwenden.
Der In-App-Browser von TikTok auf iOS fügt Javascript-Code in externe Websites ein, der es der Social-Media-Plattform ermöglicht, „alle Tastatureingaben und -tipps“ zu verfolgen, so der Sicherheitsforscher. Laut TikTok wird der Code nicht für bösartige Zwecke verwendet.
Krause bestätigt, dass die überwachten Tastatureingaben und -tipps sensible Daten wie Kreditkarteninformationen und Passwörter umfassen.
„Aus technischer Sicht ist dies das Äquivalent zur Installation eines Keyloggers auf Websites von Drittanbietern„, so der Sicherheitsforscher. Er räumte jedoch ein, dass „nur weil eine App JavaScript in externe Websites einschleust, dies nicht bedeutet, dass die App etwas Böses tut„.
Krause riet denjenigen, die sich vor der böswilligen Verwendung des Codes schützen wollen, externe Websites mit dem iOS-Standardbrowser Safari oder dem von ihnen verwendeten Standardbrowser zu öffnen.
„Immer wenn Sie einen Link aus einer App öffnen, prüfen Sie, ob die App eine Möglichkeit bietet, die aktuell angezeigte Website in Ihrem Standardbrowser zu öffnen“, so Krause. „Während dieser Analyse bot jede App außer TikTok eine Möglichkeit, dies zu tun“.
Bild von methodshop auf Pixabay
Unsere Arbeit ist spendenfinanziert – wir bitten um Unterstützung.
Folge uns auf Telegram und GETTR
Smart Meter Security – Angriffsrisiko mit hohem Schadpotenzial
WEF empfiehlt Microchip-Implantate für Kinder
So sicher sind unsere digitalen Impf-Daten: Hacker knacken Quellcode für Samsung Galaxy Smartphones
