TikTok-App liest offenbar alles mit – sogar Passwörter

Es ist ja so: Auf TikTok findet man jede Menge Sinnlosscheiß. Unternehmen tummeln sich mittlerweile auch gerne auf der chinesischen Videoplattform, weil sie jüngere Zielgruppen dort abholen können, wo sie stehen. Unterhaltung, Inspiration und Information – all das wird mittlerweile in kurze Clips verpackt und in kleinen Videohappen ausgeliefert. Kein Wunder, dass sich das soziale Netzwerk immer größerer Beliebtheit erfreut. Die Interaktionsrate ist auch höher als bei Instagram und Co – es gibt also mehr Klicks, Kommentare und Seitenaufrufe. Hier lesen also eine Menge Leute mit! Und nicht nur die User, sondern auch TikTok selbst, wie sich herausgestellt hat…
IT-Sicherheitsexperte Felix Krause hat sich den Code der iOS-Version von TikTok angesehen und herausgefunden, dass im In-App-Browser nicht nur die Website geöffnet wird, sondern auch ein zusätzlicher JavaScript-Code injiziert wird, der dem User auf die Finger schaut. Jeder Klick und jeder Tastaturanschlag wird erfasst – auch Passwörter, Adressen, Kreditkarteninformationen und Co. Zum Vergleich mit einer anderen bekannten Datenkrake: Bei den Meta-Apps (Facebook und Instagram) werden zwar auch alle Klicks und Links aufgezeichnet, aber keine Tastaturanschläge. Krause erklärt, dass das Ganze technisch mit einem Keylogger vergleichbar wäre, der alle Eingaben protokolliert und damit eine totale Überwachung ermöglicht.
TikTok, das zum chinesischen Konzern ByteDance gehört, gibt auf Nachfrage an, dass der JavaScript-Code lediglich der Fehlersuche und Leistungsüberwachung diene – alles für ein „optimales Nutzererlebnis“. Alles nur für die User! Das hatte TikTok auch bereits im Juli behauptet, als es personalisierte Werbung für alle volljährigen Nutzer zur Pflicht machen wollte. Durch ein Hintertürchen. Um DSGVO-konform zu bleiben, wollte das Unternehmen personalisierte Werbung einfach zum „berechtigten Interesse“ erklären, um sich so die Einwilligung der Nutzer zu sparen. Wer da nicht mitmachen hätte wollen, hätte mit einer persönlichen Begründung widersprechen müssen. Die irische Datenschutzbehörde DCP und weitere europäische Datenschutzbehörden wurden da hellhörig – der Data Protection Commissioner führt ohnehin schon zwei Verfahren gegen die Plattform. TikTok legte die Pläne nach dem Einspruch der Datenschutzbehörden erstmal auf Eis, meckerte aber, dass es doch nur um das optimale Nutzererlebnis ginge: „Wir glauben, dass personalisierte Werbung das beste In-App-Erlebnis für unsere Community bietet und uns mit den Praktiken der Branche in Einklang bringt.“ Bestes Erlebnis und Einklang – das klingt nach einer Mischung aus Abenteuerurlaub und Entspannung, fast schon nach Yin und Yang. So gut will TikTok zu uns sein, es uns möglichst schön machen. Und wir werden immer gleich misstrauisch… Dabei will das Unternehmen doch nur unser Bestes! Und unser Bestes sind für ein Tech-Unternehmen eben unsere Daten. Der ominöse JavaScript-Code, der in der iOS-Version der App zur Anwendung kommt, stammt übrigens von einem Drittanbieter. Um welchen Drittanbieter es sich dabei handele, möchte das Unternehmen aber nicht sagen. Im Gegensatz zu seinen Usern hat TikTok eben seine Geheimnisse…