Sicherheitsrisiko In-App-Browser
19.03.2024 • aktualisiert am 20.12.2024
Lesedauer: ca. 3 MinutenWie die Browser von Social Media Apps Daten tracken und wie Sie dies durch entsprechende Einstellungen - zumindest teilweise - unterbinden können.
Lesedauer: ca. 3 MinutenWie die Browser von Social Media Apps Daten tracken und wie Sie dies durch entsprechende Einstellungen - zumindest teilweise - unterbinden können.
Man kennt es von Social Media Apps wie Facebook, Instagram, LinkedIn und TikTok: klickt man auf einen Link in einem Beitrag, Video oder einer Story – schon öffnet sich die Website. Allerdings nicht wie gedacht in der gewohnten Browser-App, sondern in einem eigenen »Fenster» direkt in der ursprünglichen Anwendung.
Diesen mitgelieferten Browser der App nennt man In-App-Browser. Diese Methodik ist nicht nur bequem für den User, der nicht zwischen den Apps wechseln muss, sie erfüllt auch weitere Zwecke für Meta, Microsoft und Co: potenzielles Daten sammeln. Wir verraten, was diese In-App-Browser tun können und wie man etwaige Risiken als Nutzer:in minimieren kann.
Diesen mitgelieferten Browser der App nennt man In-App-Browser. Diese Methodik ist nicht nur bequem für den User, der nicht zwischen den Apps wechseln muss, sie erfüllt auch weitere Zwecke für Meta, Microsoft und Co: potenzielles Daten sammeln. Wir verraten, was diese In-App-Browser tun können und wie man etwaige Risiken als Nutzer:in minimieren kann.
Quicklinks
Wie tracken Meta, TikTok und Co. die Daten mit ihren eigenen Browsern?
Klickt man in einem Beitrag nun auf einen Link, gelangt man zur gewünschten Webseite. Dabei verlässt man aber nicht die App, in der man gerade unterwegs ist, sondern diese App öffnet selbst einen eigenen Browser. Ebendieser Browser sieht dabei für Laien ganz gewöhnlich aus und unterscheidet sich auch optisch kaum von den mobilen Versionen von Chrome, Safari oder einer anderen dafür festgelegten App Ihres Smartphones.
Während man also einen Link in einem In-App-Browser öffnet, können diese Anbieter so genannte JavaScript Codes in die aufgerufene Webseite »injizieren«. Diese Codes ermöglichen aus technischer Sicht ein Tracking der Nutzerdaten auf dieser Website – ohne Einwilligung durch ein Cookie Consent-Tool. Aufgedeckt hat dieses Vorgehen der IT-Security Spezialist und Google Consultant Felix Krause.
Während man also einen Link in einem In-App-Browser öffnet, können diese Anbieter so genannte JavaScript Codes in die aufgerufene Webseite »injizieren«. Diese Codes ermöglichen aus technischer Sicht ein Tracking der Nutzerdaten auf dieser Website – ohne Einwilligung durch ein Cookie Consent-Tool. Aufgedeckt hat dieses Vorgehen der IT-Security Spezialist und Google Consultant Felix Krause.
Welche Daten können In-App-Browser durch diese Methode theoretisch erfassen?
Mit diesem eingeschleusten Code hat z.B. die Facebook-Mutter »Meta« das Potenzial, die Verhaltensdaten zu tracken und zu analysieren. Dazu gehören Klicks auf Anzeigen, Buttons oder Links, das Erfassen eines Screenshots oder auch Eingaben in Formularen. Dazu gehört auch die Eingabe Zahlungsinformationen oder Passwörtern.
Meta selbst weist diese Erkenntnisse zurück und begründet dies mit dem aggregierten Tracking von Conversion-Informationen im Rahmen von Social Media Kampagnen. Seitdem Apple die Betriebssystem-Variante iOS 14 veröffentlichte, ist die Datenerfassung von diesen Kampagnen erschwert, da Apple dem automatischen Tracking über Drittanbieter-Cookies einen Riegel vorgeschoben hat. Nun müssen Nutzer vorab einstellen, ob sie dies möchten. Ein automatisch integrierter Code über den In-App-Browser umgeht wiederum diese Sperre.
Auch TikTok schreibt in einem Statement, dass sie keine Tastenklicks oder Texteingaben mit diesem Code sammeln, sondern dies lediglich für »debugging, troubleshooting und Performance Monitoring« nutzen. Kurz übersetzt dient die Sammlung der Fehlersuche und -behebung sowie der Beobachtung von möglichen Fehlern in der Software.
Meta selbst weist diese Erkenntnisse zurück und begründet dies mit dem aggregierten Tracking von Conversion-Informationen im Rahmen von Social Media Kampagnen. Seitdem Apple die Betriebssystem-Variante iOS 14 veröffentlichte, ist die Datenerfassung von diesen Kampagnen erschwert, da Apple dem automatischen Tracking über Drittanbieter-Cookies einen Riegel vorgeschoben hat. Nun müssen Nutzer vorab einstellen, ob sie dies möchten. Ein automatisch integrierter Code über den In-App-Browser umgeht wiederum diese Sperre.
Auch TikTok schreibt in einem Statement, dass sie keine Tastenklicks oder Texteingaben mit diesem Code sammeln, sondern dies lediglich für »debugging, troubleshooting und Performance Monitoring« nutzen. Kurz übersetzt dient die Sammlung der Fehlersuche und -behebung sowie der Beobachtung von möglichen Fehlern in der Software.
Kann ich diese Methodik unterbinden?
Um diese potenziellen Risiken als Nutzer zu minimieren, konnten bis 2024 bestimmte Einstellungen vorgenommen werden, indem der Standard-Browser in der Facebook App abgeändert wurde. Leider hat der Meta-Konzern diese Möglichkeit in den neuesten Versionen abgedreht. Du kannst allerdings die verknüpften Informationen zu anderen Websites und Apps trennen/deaktivieren.
So wird’s gemacht:
- Öffnen Sie die Facebook-App und klicken Sie auf Ihr Profilbild.
- Von dort gelangen Sie zu dem Punkt »Einstellungen und Privatsphäre«.
- Weiter geht’s zu den »Einstellungen« und »Aktivitäten außerhalb von Facebook«.
- Hier kann man die Optionen »Verlauf entfernen« bzw. »Frühere Aktivitäten löschen« sowie »künftige Aktivitäten trennen« auswählen.
Links nachträglich in eigenem Wunschbrowser öffnen.
Für Instagram, Facebook und TikTok kann man aus dem bereits geöffneten Link im In-App Browser in den Wunschbrowser wechseln. Hier kann man erst nach dem Öffnen des Links über das Drei-Punkte Menü rechts oben die Funktion »in Browser/Chrome/Safari etc. öffnen« auswählen.
Tipp: Durchforsten Sie die Einstellungen
Andere Apps wie Telegram, Twitter oder Reddit erlauben die Einstellung, beim Öffnen von Links anstelle des In-App-Browsers den Standardbrowser zu verwenden. Bei LinkedIn befindet sich diese Einstellung in der App im Bereich »Kontoeinstellungen« unter dem Punkt »Weblinks in der App öffnen«.
Sie benötigen Unterstützung in Sachen Website-Sicherheit?
Sie sind unsicher, ob Ihre Website oder Ihr Webshop technisch wirklich sicher ist? Wir schützen Ihre Online-Präsenz vor Angriffen, sorgen für Updates und laufende Betreuung, damit Ihre Seite stabil, performant und vertrauenswürdig bleibt.
Website-Betreuung anfragen
Sicherheitsrisiko In-App-Browser: Kurz zusammengefasst
In-App-Browser von Meta und Co. ermöglichen ein Tracking auf Drittanbieter-Webseiten auch ohne Einwilligung. Auch wenn Meta und TikTok die Erkenntnisse des Spezialisten zurückweisen, welcher diese Vorgehensweise aufgedeckt hat – wir empfehlen hier auf Nummer sicher zu gehen.
Unser Tipp: Richten Sie daher Ihre Apps (wenn möglich) so ein, dass beim Aufruf die Links im bevorzugten Standard-Browser wie Chrome oder Safari geöffnet werden.
Unser Tipp: Richten Sie daher Ihre Apps (wenn möglich) so ein, dass beim Aufruf die Links im bevorzugten Standard-Browser wie Chrome oder Safari geöffnet werden.
Gibt’s dazu noch mehr zu erfahren? – Ja, klar!
Wir geben unser Wissen und unsere Erfahrungen liebend gerne weiter: Passgenaue Empfehlungen, Wissen und Lösungen für digitale Strategie und Technik gibt′s natürlich für alle unsere Kund:nnen (und alle, die es noch werden wollen) im Rahmen einer persönlichen Beratung. Schicken Sie gerne eine kurze Mail an: Diese E-Mail-Adresse ist gegen Spam Bots geschützt, zum Ansehen müssen Sie in Ihrem Browser JavaScript aktivieren..
