iphone-ticker.de — Alles zum iPhone. Seit 2007. 38 839 Artikel

Insta-Browser statt Safari

Schnüffelnde In-App-Browser: Meta manipuliert (alle) Webseiten

Artikel auf Mastodon teilen.
51 Kommentare 51

Wer sich innerhalb der Instagram-Applikation eine beliebige Webseite von Drittanbietern anzeigen lässt, etwa weil dem Link in der Kurzbiografie eines interessanten Instagram-Profils gefolgt wurde, der macht dies unter den wachen Augen des Facebook-Mutterkonzerns Meta.

Hijacking Webview

Das Zuckerberg-Unternehmen, dies hat der Sicherheitsforscher Felix Krause in mehreren Selbstversuchen festgestellt, modifiziert alle innerhalb der eigenen App angezeigten Webseiten und ergänzt diese um JavaScript-Code aus eigener Produktion.

Code-Eingriffe in jede Webseite

Durch den Vollzugriff auf die Inhalte des In-App-Webbrowsers ist Meta so in der Lage Datenschutzvorkehrungen zu umgehen, die im Standard-Browser des mobilen Betriebssystems implementiert sind und kann theoretisch die Inhalte aller besuchten Webseiten mitlesen.

Auf Nachfrage des Sicherheitsforschers betont der Mutterkonzern des sozialen Netzwerkes zwar, dass man die gesetzten Nutzerpräferenzen zur Tracking-Transparenz berücksichtigen würde, gibt damit aber auch zu erkennen, dass von den Möglichkeiten des Mitlesens Gebrauch gemacht wird, sollten Anwender diesen nicht in den iOS-Systemeinstellungen (Einstellungen > Datenschutz > Tracking) aktiv widersprochen haben.

Meta Tracking 1400

Problematisch an der nun von Krause bewiesen Vorgehensweise ist, dass Anwender keine Möglichkeit haben die Manipulation der angezeigten Webseiten durch Facebook zu deaktivieren. Apple selbst bietet keinen Schalter an, der dafür sorgt, dass Online-Inhalte stets im Standard Safari-Browser und nicht in den In-App-Browsern der zahlreichen Drittanbieter-Applikationen angezeigt werden. Auch der neu eingeführte Blockierungsmodus erlaubt die Manipulation angezeigter Webseiten, wenn diese in Anwendungen von Drittanbietern dargestellt werden.

Framebuster für In-App-Browser

Immerhin hat Krauses Fund für Aufmerksamkeit gesorgt und erste Vorschläge zu Tage gefördert, wie Apple auf das fast schon übergriffige Verhalten reagieren könnte. Eine der einfachsten Varianten: Schon vorhandene Schutzvorkehrungen, die dafür sorgen das Webseiten nicht einfach in Frames geladen werden können, könnten zukünftig auf In-App-Browser ausgeweitet werden.

15. Aug 2022 um 08:50 Uhr von Nicolas Fehler gefunden?


    Zum Absenden des Formulars muss Google reCAPTCHA geladen werden.
    Google reCAPTCHA Datenschutzerklärung

    Google reCAPTCHA laden

    51 Kommentare bisher. Dieser Unterhaltung fehlt Deine Stimme.
  • Länger auf den Link drücken und „in Safari öffnen “ wählen. Geht das immer? Müsste man man halt dran denken.

  • Die einfachste Lösung:

    Einfach Apps mit einem gewissen Mindestdatenschutz installieren und nicht jeden Scheiß mitmachen, nur weil er gerade modern ist.

  • Noch einfacher und effektiver:
    KEINE zum Metakonzern gehörende Apps (Facebook, Instagram, Whatsup, etc) benutzen. Einen Konzern, der Datensammlung oder besser Datendiebstahl als Geschäftsmodell betreibt, sollten wir nicht unterstützen !!

  • Nicht wirklich was neues. Man denke nur an zum Beispiel Facebook Pixel…

  • Interessant, gerade mit Blick darauf, dass bei „link Teilen“ der ursprüngliche Link ohne die JS Extension geteilt wird, lediglich der rattenschwanz an referenzierungen bleibt erhalten damit die websitebetreiber den Ursprung ermitteln können.
    Am Ende gibt es aber schlimmeres…

  • Es ist schon irritierend, wenn ein telegram Update wegen Emojis blockiert wird aber ein Schnüffelbrowser machen kann was er will und das durch die Kontrolle durchgewunken wird. Ich dachte alle Apps müssen den Sandkasten von Apple für Browser nutzen?

  • Ein bisschen OT:

    Weiß jemand zufällig, ob die Aktion „Velrauf und Besitedaten löschen“ in den Einstellungen unter Safari die In-App-Browser beeinflussen? Und wenn nicht, wie kann man deren Daten löschen?

    • Ich glaube, das ist leider App-spezifisch. Dinge wie Werbe-Blocker und Safari-Erweiterungen funktionieren ja leider auch nicht in In-App-Browsern. D.h. du musst den Cache in der jeweiligen App löschen, falls die das anbietet.

      • Dann mal direkt die Frage an das iFun Team:

        Kann ich in der App die durch den In-App-Browser gespeicherten Daten löschen?

      • Den App Cache kann man unter iOS von jeder App löschen. Man muss sie nur deinstallieren und erneut installieren.

    • Wenn du über einen In-App-Browser eine Seite öffnest, werden hierzu auch Website-Daten angelegt. Also quasi genauso, als würdest du im Safari eine Seite öffnen (außer im Privat-Modus). Ob noch weitere Daten gespeichert werden, hängt natürlich von der jeweiligen App ab, die den In-App-Browser implementiert. Wie man diese löschen kann, ist dann auch von der App abhängig.

  • Da müsste man Meta sofort mit hunderten Copyright Klagen überschütten. Immerhin modifizieren sie unerlaubt vom Urheberrecht und Copyright (je nach Jurisdiktion) geschützen Code.
    Würde wer das mit deren Code machen, hätte man sowas von prompt eine Klage an der Backe.

  • Vielleicht ist es doch langsam an der Zeit, dass Facebook (Meta) und Zuckerberg getrennt werden und es weltweite, abgestimmte und harte Vorschriften für Onlinenetzwerke gibt. Mir reciht es jedenfalls langsam mit diesem Scheiß!

  • Wundert mich nicht – wäre eher überrascht, wenn’s nicht so wär!

  • Diese in-app Browser nerven mich schon lange… Einfach nicht mehr erlauben..

  • Bei jedem anderen Entwickler klopft Apple sofort auf die Finger, Facebook hat Narrenfreiheit…
    Sehr Schade , rückt die Telegram Affäre in ein ganz anderes Licht.

  • Redet mit. Seid nett zueinander!

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

    ifun.de ist das dienstälteste europäische Onlineportal rund um Apples Lifestyle-Produkte.
    Wir informieren täglich über Aktuelles und Interessantes aus der Welt rund um iPhone, iPad, Mac und sonstige Dinge, die uns gefallen.
    Insgesamt haben wir 38839 Artikel in den vergangenen 6322 Tagen veröffentlicht. Und es werden täglich mehr.
    ifun.de — Love it or leave it   ·   Copyright © 2024 aketo GmbH   ·   Impressum   ·   Cookie Einstellungen   ·   Datenschutz   ·   Safari-Push aketo GmbH Powered by SysEleven