Der im sozialen Netzwerk TikTok (App Store-Link) integrierte Browser kann laut Untersuchungen des Sicherheitsforschers Felix Krause JavaScript-Code in externe Websites integrieren, um TikTok zu ermöglichen, „alle Tastatureingaben und Taps“ bei der Verwendung einer Website zu überwachen.
Das soziale Netzwerk habe laut einer Stellungnahme gegenüber Forbes bestritten, dass der Code für bösartige Absichten verwendet werde. Man habe bestätigt, dass es solche Features im Code gebe, man diese aber nicht nutzen würde. TikTok-Sprecherin Maureen Shanahan sagt dazu in einer Erklärung:
„Wie andere Plattformen verwenden wir einen In-App-Browser, um ein optimales Nutzererlebnis zu bieten, aber der fragliche Javascript-Code wird nur für die Fehlersuche, Fehlerbehebung und Leistungsüberwachung dieses Erlebnisses verwendet, zum Beispiel, um zu überprüfen, wie schnell eine Seite geladen wird oder ob sie abstürzt.“
Zuvor hatte Sicherheitsforscher Felix Krause auf seiner Website über die Verwendung von JavaScript-Befehlen in In-App-Browsern verschiedener Plattformen berichtet. Auch Anwendungen wie Instagram und Facebook „speisen JavaScript-Code in Websites von Drittanbietern, der potentielle Sicherheits- und Datenschutzrisiken für den User birgt“, so Krause. Vor allem TikTok, das keine Möglichkeit bietet, Links in externen Browsern zu öffnen, könne so potentiell auch Passwörter und Kreditkartendaten abgreifen.
Der Sicherheitsforscher empfiehlt allen Nutzern und Nutzerinnen, die diesen potentiell schädlichen JavaScript-Code in In-App-Browsern umgehen wollen, dazu überzugehen, einen bestimmten Link im Standardbrowser des Systems anzuzeigen, beispielsweise in Safari auf dem iPhone oder iPad.
„Wann immer Sie einen Link aus einer App öffnen, prüfen Sie, ob die App eine Möglichkeit bietet, die aktuell angezeigte Website in Ihrem Standardbrowser zu öffnen. Während dieser Analyse bot jede App außer TikTok eine solche Möglichkeit an.“
Felix Krause hat zudem ein einfaches Tool entwickelt, mit dem jeder überprüfen kann, ob ein In-App-Browser beim Rendern einer Website JavaScript-Code injiziert. Der Sicherheitsforscher gibt an, dass man einfach eine App öffnen müsse, die man analysieren möchte und die Adresse InAppBrowser.com irgendwo innerhalb der App teilt (etwa in einer Direktnachricht an eine andere Person). Danach tippt man auf den Link in der App, um ihn zu öffnen und liest den Bericht auf dem Bildschirm.