Sicherheitsrisiko In-App-Browser

veröffentlicht am 02.02.2023

Wie die Browser von Social Media Apps Daten tracken und wie Sie dies durch entsprechende Einstellungen unterbinden können.

Man kennt es von Social Media Apps wie Facebook, Instagram, LinkedIn und TikTok: klickt man auf einen Link in einem Beitrag, Video oder einer Story - schon öffnet sich die Webseite. Allerdings nicht wie gedacht in der gewohnten Browser-App, sondern in einem eigenen »Fenster« direkt in der ursprünglichen Anwendung.

Diesen mitgelieferten Browser der App nennt man In-App-Browser. Diese Methodik ist nicht nur bequem für den User, der nicht zwischen den Apps wechseln muss, sie erfüllt auch weitere Zwecke für Meta, Microsoft und Co: potenzielles Daten sammeln. Wir verraten, was diese In-App-Browser tun können und wie man etwaige Risiken als Nutzer minimieren kann.

Quicklinks

Wie tracken Meta, TikTok und Co. die Daten mit ihren eigenen Browsern?

Klickt man in einem Beitrag nun auf einen Link, gelangt man zur gewünschten Webseite. Dabei verlässt man aber nicht die App, in der man gerade unterwegs ist, sondern diese App öffnet selbst einen eigenen Browser. Ebendieser Browser sieht dabei für Laien ganz gewöhnlich aus und unterscheidet sich auch optisch kaum von den mobilen Versionen von Chrome, Safari oder einer anderen dafür festgelegten App Ihres Smartphones.

Während man also einen Link in einem In-App-Browser öffnet, können diese Anbieter so genannte JavaScript Codes in die aufgerufene Webseite »injizieren«. Diese Codes ermöglichen aus technischer Sicht ein Tracking der Nutzerdaten auf dieser Website – ohne Einwilligung durch ein Cookie Consent-Tool. Aufgedeckt hat dieses Vorgehen der IT-Security Spezialist und Google Consultant Felix Krause.

Welche Daten können In-App-Browser durch diese Methode theoretisch erfassen?

Mit diesem eingeschleusten Code hat z.B. die Facebook-Mutter »Meta« das Potenzial, die Verhaltensdaten zu tracken und zu analysieren. Dazu gehören Klicks auf Anzeigen, Buttons oder Links, das Erfassen eines Screenshots oder auch Eingaben in Formularen. Dazu gehört auch die Eingabe Zahlungsinformationen oder Passwörtern.

Meta selbst weist diese Erkenntnisse zurück und begründet dies mit dem aggregierten Tracking von Conversion-Informationen im Rahmen von Social Media Kampagnen. Seitdem Apple die Betriebssystem-Variante iOS 14 veröffentlichte, ist die Datenerfassung von diesen Kampagnen erschwert, da Apple dem automatischen Tracking über Drittanbieter-Cookies einen Riegel vorgeschoben hat. Nun müssen Nutzer vorab einstellen, ob sie dies möchten. Ein automatisch integrierter Code über den In-App-Browser umgeht wiederum diese Sperre.

Auch TikTok schreibt in einem Statement, dass sie keine Tastenklicks oder Texteingaben mit diesem Code sammeln, sondern dies lediglich für »debugging, troubleshooting und Performance Monitoring« nutzen. Kurz übersetzt dient die Sammlung der Fehlersuche und -behebung sowie der Beobachtung von möglichen Fehlern in der Software.

Screenshot der Einstellungen in der Facebook App für das Öffnen von Links

Wie kann ich diese Methodik unterbinden?

Um diese potenziellen Risiken als Nutzer zu minimieren, können bestimmte Einstellungen vorgenommen werden. In der Facebook-App kann beispielsweise der Standard-Browser anstelle des In-App Browsers erzwungen werden.

So wird’s gemacht:

  • Öffnen Sie die Facebook-App und klicken Sie auf die drei Striche rechts oben im Profil.
  • Von dort gelangen Sie zu dem Punkt »Einstellungen«.
  • Weiter geht’s zu den »Profileinstellungen« und »Medien und Kontakte«.
  • Hier kann man die Option »Links werden extern geöffnet« auswählen (siehe Bild).

In diesen Optionen befinden sich auch die Browser-Einstellungen für den In-App Browser der Facebook-App. Hier kann man die erfassten Daten löschen oder Autofill-Einstellungen steuern.
Screenshot des Instagram Browsers mit den angezeigten Einstellungsmöglichkeiten

Wie sieht das für weitere Apps aus?

Für Instagram und TikTok scheint es diese Funktion nicht zu geben. Hier kann man erst nach dem Öffnen des Links über das Drei-Punkte Menü rechts oben die Funktion »in Chrome/Safari öffnen« auswählen.

Tipp: Durchforsten Sie die Einstellungen


Andere Apps wie Telegram, Twitter oder Reddit erlauben wie Facebook übrigens die Einstellung, beim Öffnen von Links anstelle des In-App-Browsers den Standardbrowser zu verwenden. Bei LinkedIn befindet sich diese Einstellung in der App im Bereich »Kontoeinstellungen« unter dem Punkt »Weblinks in der App öffnen«.

Sicherheitsrisiko In-App-Browser - kurz zusammengefasst

In-App-Browser von Meta und Co. ermöglichen ein Tracking auf Drittanbieter-Webseiten auch ohne Einwilligung. Auch wenn Meta und TikTok die Erkenntnisse des Spezialisten zurückweisen, welcher diese Vorgehensweise aufgedeckt hat – wir empfehlen hier auf Nummer sicher zu gehen.

Unser Tipp: Richten Sie daher Ihre Apps (wenn möglich) so ein, dass beim Aufruf die Links im bevorzugten Standard-Browser wie Chrome oder Safari geöffnet werden.

Gibt’s dazu noch mehr zu erfahren? – Ja, klar!

Wir geben gerne unser Wissen und unsere Erfahrungen weiter. Maßgeschneiderte Empfehlungen und Lösungen für die individuelle Online-Strategie gibt′s natürlich für alle unsere KundInnen (und alle, die es noch werden wollen) im Rahmen einer persönlichen Beratung in St. Pölten und Amstetten.
Porträt: Theresa Memelauer
Über die Autorin · Theresa Memelauer

Die Medientechnikerin (FH) und Frontend-Entwicklerin Theresa ist seit 2010 in der Agentur. Als »Certified WebAccessibility Expertin« beschäftigt sie sich damit, wie Websites bestmöglich nutzerfreundlich (User-Interface-Design) und im Sinne der Barrierefreiheit im Internet für alle zugänglich werden. Sie setzt Webprojekte mit dem hauseigenen CMS EDWIN gemäß den aktuellen Richtlinien nach WCAG um.