Insta-Browser statt Safari
Schnüffelnde In-App-Browser: Meta manipuliert (alle) Webseiten
Wer sich innerhalb der Instagram-Applikation eine beliebige Webseite von Drittanbietern anzeigen lässt, etwa weil dem Link in der Kurzbiografie eines interessanten Instagram-Profils gefolgt wurde, der macht dies unter den wachen Augen des Facebook-Mutterkonzerns Meta.
Das Zuckerberg-Unternehmen, dies hat der Sicherheitsforscher Felix Krause in mehreren Selbstversuchen festgestellt, modifiziert alle innerhalb der eigenen App angezeigten Webseiten und ergänzt diese um JavaScript-Code aus eigener Produktion.
Code-Eingriffe in jede Webseite
Durch den Vollzugriff auf die Inhalte des In-App-Webbrowsers ist Meta so in der Lage Datenschutzvorkehrungen zu umgehen, die im Standard-Browser des mobilen Betriebssystems implementiert sind und kann theoretisch die Inhalte aller besuchten Webseiten mitlesen.
Auf Nachfrage des Sicherheitsforschers betont der Mutterkonzern des sozialen Netzwerkes zwar, dass man die gesetzten Nutzerpräferenzen zur Tracking-Transparenz berücksichtigen würde, gibt damit aber auch zu erkennen, dass von den Möglichkeiten des Mitlesens Gebrauch gemacht wird, sollten Anwender diesen nicht in den iOS-Systemeinstellungen (Einstellungen > Datenschutz > Tracking) aktiv widersprochen haben.
Problematisch an der nun von Krause bewiesen Vorgehensweise ist, dass Anwender keine Möglichkeit haben die Manipulation der angezeigten Webseiten durch Facebook zu deaktivieren. Apple selbst bietet keinen Schalter an, der dafür sorgt, dass Online-Inhalte stets im Standard Safari-Browser und nicht in den In-App-Browsern der zahlreichen Drittanbieter-Applikationen angezeigt werden. Auch der neu eingeführte Blockierungsmodus erlaubt die Manipulation angezeigter Webseiten, wenn diese in Anwendungen von Drittanbietern dargestellt werden.
- Neu in iOS 16: Lockdown – Das ist der neue Blockierungsmodus
Framebuster für In-App-Browser
Immerhin hat Krauses Fund für Aufmerksamkeit gesorgt und erste Vorschläge zu Tage gefördert, wie Apple auf das fast schon übergriffige Verhalten reagieren könnte. Eine der einfachsten Varianten: Schon vorhandene Schutzvorkehrungen, die dafür sorgen das Webseiten nicht einfach in Frames geladen werden können, könnten zukünftig auf In-App-Browser ausgeweitet werden.
Die Hölle ist leer, alle Teufel sind schon hier.
Das trifft’s wohl ziemlich gut
Google meint die sind schon ewig hier
Schön formuliert!
Sehr treffende METApher!
Da hat einer „Dark“ gesehen, oder William Shakespeare gelesen, oder beides.
Länger auf den Link drücken und „in Safari öffnen “ wählen. Geht das immer? Müsste man man halt dran denken.
Klappt leider nicht. Früher gab es mal die Option „externe Links im Standardbrowser öffnen“. Diese Einstellung wurde entfernt. Bei Android ist diese noch vorhanden.
kannst doch trotzdem im Safari öffnen.. mach ich generell, allein um den Tab zu speichern
Wenn man die Website in FB bereits geöffnet hat, kann man auf Safari wechseln…
Wenn sie innerhalb der App geöffnet wurde, dann braucht man auch imho nicht mehr wechseln.
Die einfachste Lösung:
Einfach Apps mit einem gewissen Mindestdatenschutz installieren und nicht jeden Scheiß mitmachen, nur weil er gerade modern ist.
+1
Z.b kein Android kaufen und kein Chrome verwenden.
Sinnfreier Kommentar, hier geht es um Meta und nicht Google.
Mit einer Custom Android Version wie GraphenOS kann man auch mit Android datenschutzfreundlich unterwegs sein :)
Facebook ist bei weiten nicht so hungrig wie Google. Wenn man Facebook sagt MUSS man auch Google sagen. Alles andere ist Heuchelei.
Heuchelei sind etwas große worte, aber ja – von Google würde ich auch meine Finger lassen.
P.s. es gibt viele Apps auf dem iPhone, die mit dem Facebook SDK entwickelt werden und auch deine Daten abgreifen.
Einige von denen wurden redaktionell auch immer wieder empfohlen.
Sucht doch mal nach „dagegen ist Facebook Privatsphäre pur“ und staunet was Google so sammelt.
Richtig, Josef!
Noch einfacher und effektiver:
KEINE zum Metakonzern gehörende Apps (Facebook, Instagram, Whatsup, etc) benutzen. Einen Konzern, der Datensammlung oder besser Datendiebstahl als Geschäftsmodell betreibt, sollten wir nicht unterstützen !!
Mit Friendly+ kann man alle Sozialen Netzwerke entsprechend geschützter nutzen.
So sieht’s aus ;-)
Ist das sowas wie Jumbo?
Nein, eher eine Alternative App für die jeweilige Netzwerke.
Jap, ist ja sooo einfach alle Arbeitskollegen, alle Familienmitglieder und alle Freunde davon zu überzeugen alle Apps von Meta zu löschen :)
Reicht doch, wenn DU sie löscht.
Bisher hat es auch jede und jeder in meinem Umfeld geschafft mich auf eine andere Weise zu kontaktieren. 95% haben eh mehr als einen Messenger installiert.
++1
@Tut: genau so. Ich muss nicht mit Kollegen in Kontakt bleiben, die derart stur sind. Und Firmenbelange werden ja hoffentlich nicht ausschließlich über WA gemacht, denn das wäre ein Verstoß gegen die DSGVO
Bei uns im Unternehmen ist WhatsApp aus Sicherheitsgründen verboten, von daher habe ich das Thema nur im privaten Bereich.
@Tut
Sehe ich genauso!
Ich vermisse es nicht, und viele aus dem Familien und Freundeskreis sind zu anderen Messenger gewechselt.
Nicht wirklich was neues. Man denke nur an zum Beispiel Facebook Pixel…
Wer nutzt eigentlich noch den Meta ….
Selber Schuld
Ach, bloß über lächerliche 2 Milliarden Menschen, das ist doch nicht der Rede wert
Das sind nur rund 25%.
75% benutzen es nicht.
Ich komm da nicht drum rum, von Facebook löse ich mich Grad so langsam aber sicher, WhatsApp wird allerdings leider bleiben müssen.
So denken leider immer noch zu viele.
Interessant, gerade mit Blick darauf, dass bei „link Teilen“ der ursprüngliche Link ohne die JS Extension geteilt wird, lediglich der rattenschwanz an referenzierungen bleibt erhalten damit die websitebetreiber den Ursprung ermitteln können.
Am Ende gibt es aber schlimmeres…
Es ist schon irritierend, wenn ein telegram Update wegen Emojis blockiert wird aber ein Schnüffelbrowser machen kann was er will und das durch die Kontrolle durchgewunken wird. Ich dachte alle Apps müssen den Sandkasten von Apple für Browser nutzen?
+1
Ja, das sind halt die Prios von Apple.
Man kriegt ja auch keine Warnungen, wenn eine App das Facebook SDK verwendet und damit auch mit deinen Daten um sich schmeißt (wie auch die hier immer wieder empfohlenen Readdle Apps)
Ein bisschen OT:
Weiß jemand zufällig, ob die Aktion „Velrauf und Besitedaten löschen“ in den Einstellungen unter Safari die In-App-Browser beeinflussen? Und wenn nicht, wie kann man deren Daten löschen?
Ich glaube, das ist leider App-spezifisch. Dinge wie Werbe-Blocker und Safari-Erweiterungen funktionieren ja leider auch nicht in In-App-Browsern. D.h. du musst den Cache in der jeweiligen App löschen, falls die das anbietet.
Dann mal direkt die Frage an das iFun Team:
Kann ich in der App die durch den In-App-Browser gespeicherten Daten löschen?
Den App Cache kann man unter iOS von jeder App löschen. Man muss sie nur deinstallieren und erneut installieren.
Wenn du über einen In-App-Browser eine Seite öffnest, werden hierzu auch Website-Daten angelegt. Also quasi genauso, als würdest du im Safari eine Seite öffnen (außer im Privat-Modus). Ob noch weitere Daten gespeichert werden, hängt natürlich von der jeweiligen App ab, die den In-App-Browser implementiert. Wie man diese löschen kann, ist dann auch von der App abhängig.
Da müsste man Meta sofort mit hunderten Copyright Klagen überschütten. Immerhin modifizieren sie unerlaubt vom Urheberrecht und Copyright (je nach Jurisdiktion) geschützen Code.
Würde wer das mit deren Code machen, hätte man sowas von prompt eine Klage an der Backe.
Vielleicht ist es doch langsam an der Zeit, dass Facebook (Meta) und Zuckerberg getrennt werden und es weltweite, abgestimmte und harte Vorschriften für Onlinenetzwerke gibt. Mir reciht es jedenfalls langsam mit diesem Scheiß!
Wundert mich nicht – wäre eher überrascht, wenn’s nicht so wär!
Diese in-app Browser nerven mich schon lange… Einfach nicht mehr erlauben..
Bei jedem anderen Entwickler klopft Apple sofort auf die Finger, Facebook hat Narrenfreiheit…
Sehr Schade , rückt die Telegram Affäre in ein ganz anderes Licht.