In-App-Browser auf dem iPhone: Experte sieht Trackingpotenzial durch Meta
Die Firma könnte den gesamten Traffic mitlesen, wenn Nutzer statt Safari den eingebauten Browser in Instagram oder der Facebook-App verwenden.
Meta betreibt diverse beliebte Apps.
(Bild: mundissima/Shutterstock.com)
Ein IT-Security-Spezialist hat auf ein mögliches Gefahrenpotenzial durch sogenannte In-App-Browser auf dem iPhone aufmerksam gemacht. Firmen wie die Facebook-Mutter Meta könnten dadurch verfolgen, was ihre Nutzer im Web tun, warnt der ehemalige Google-Ingenieur Felix Krause in einer am Mittwoch veröffentlichten Analyse.
Meta kontrolliert den Browser
In-App-Browser sind Browser, die in einer App mitgeliefert werden. Klickt man etwa in der offiziellen Instagram- oder Facebook-Anwendung auf einen Link, wird dieser nicht im iOS-Standardbrowser (Safari oder eine andere vom Nutzer festgelegte App), sondern in einem direkt in der App integrierten WebKit-Derivat geöffnet. Über dieses hat Meta aber die volle Kontrolle – und damit ein quasi uneingeschränktes Trackingpotenzial, so Krauses Untersuchung.
Das Thema betrifft nicht nur Meta, sondern jede andere App mit integriertem Browser. Allerdings gibt es bei der Facebook-Mutter Hinweise darauf, dass ein Tracking auch erfolgt. So heißt es in der Instagram-Dokumentation offiziell, dass jeder angeschauten Website ein sogenanntes "Meta Pixel" verpasst wird. So kann potenziell erfasst werden, wenn eine Anzeige angeklickt, ein Button oder Link betätigt, Texte selektiert, Screenshots angefertigt oder Eingaben getätigt werden – darunter auch potenziell Passwörter und Kreditkarteninfos, sollte man diese eingeben.
Missbrauchspotenzial
Was genau Meta hier speichert, ist jedoch unklar – die Funktion scheint zunächst nur dazu zu dienen, Werbeklicks und Kampagnen zu tracken. Er sage nicht, dass Facebook Passwörter, Adressen und Kreditkartennummern stehle, betonte Krause. Er könne nicht beweisen, was genau etwa die Instagram-App tracke, er wolle aber das Potenzial aufzeigen, welche Daten ohne Wissen des Nutzers sichtbar würden. "Wie früher schon gezeigt: Wenn es für eine Firma möglich ist, kostenlosen Zugriff auf Daten zu bekommen, ohne den Nutzer um Erlaubnis zu fragen, werden sie diese auch erfassen."
Welche Auswirkungen Apples hauseigener Trackingschutz ATT auf das Verhalten des In-App-Browsers hat, blieb zunächst unklar. Eigentlich dürfte dieser nichts nutzen, da die Nutzerverfolgung nicht über die jeweilige App hinaus geht, weil der Browser ja Teil der Anwendung ist. Die Facebook-Tochter steckt in ihren Browser im Übrigen durchaus Entwicklungsaufwand hinein: Dieser muss regelmäßig gepflegt werden. Der Konzern dürfte also seine Gründe dafür haben, Links nicht einfach in Safari zu öffnen.
Meta hat mittlerweile zu den Vorwürfen des Sicherheitsforschers Stellung genommen. Man sieht sich von Krauses Analyse falsch verstanden. Diese habe "fehlerhaft dargestellt, wie der In-App-Browser von Meta sowie das [Meta-]Pixel arbeiten". Meta betonte, man habe seinen Code entwickelt, "um die Entscheidungen der Nutzer*innen zur App-Tracking-Transparenz [ATT] zu respektieren". Die Technik soll laut Meta unter anderem dazu dienen, "Nutzerdaten zu aggregieren, um sie für gezielte Werbung und Messzwecke einzusetzen". Man injiziere Code zum Messen sogenannter Conversion-Events – also etwa, um festzustellen, ob jemand, der Werbung angeklickt hat, dann auch kauft. Bezahlinformationen würden im Browser "nur für Autofill-Funktionen und nach Genehmigung duch den Nutzer" gespeichert. Die Sprecherin behauptete weiterhin, Krause erwäge, seine Analyse "in den kommenden Tagen richtigzustellen". Auf Nachfrage von Mac & i sah der Sicherheitsexperte dies allerdings ganz anders. Seine Analyse sei korrekt, Facebook habe ihm zwar eine E-Mail geschrieben, aber das ändere nichts an dem Ganzen. "Fakt ist: Die iOS-Instagram-App führt JavaScript-Code auf allen externen Websites aus, die innerhalb der Instagram-App mit dem In-App-WebView angezeigt werden." Auch falls dies aus rechtlicher Sicht vielleicht erlaubt ist – dazu könne er als Ingenieur nichts sagen –, sei diese Verhaltensweise "äußerst fragwürdig". Die Antwort von Facebook gehe nur darauf ein, dass die ATT-Entscheidung des Nutzers akzeptiert werde. "Aber das ändert nichts an der Tatsache, dass trotzdem eigener Code in externe Webseiten injected wird, der potentiell Daten stehlen könnte."
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier ein externer Preisvergleich (heise Preisvergleich) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (heise Preisvergleich) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
(bsc)
