Ранее в этом месяце было раскрытый что популярные мобильные приложения со встроенными браузерами внедряли пользовательский JavaScript на посещаемые сайты. Facebook, Instagram и TikTok используют методы внедрения кода для виртуального отслеживания всего, что пользователи приложения делают на любом веб-сайте, открытом в браузере приложения.
Компании, владеющие вредоносными приложениями, получают от этого несколько преимуществ. Во-первых, потому что все происходит полностью за кулисами, и большинство пользователей ничего об этом не подозревают. Во-вторых, потому что встроенные в приложения браузеры не поддерживают блокировщики контента и не раскрывают информацию о конфиденциальности при использовании.
Большинство компаний используют встроенные в приложения браузеры и инъекции кода для целей отслеживания и монетизации, но некоторые могут использовать код для отслеживания всей активности пользователя, включая все нажатия клавиш.
Феликс Краузе создал сайт InAppBrowserкоторый предназначен для того, чтобы показать пользователю, вводит ли код встроенный в приложение браузер.
Вот как это работает:
- Откройте приложение, которое вы хотите проанализировать.
- Используйте функцию общего доступа внутри приложения, чтобы получить ссылку https://InAppBrowser.com в приложение. Вы можете отправить контакт в DM или опубликовать его публично.
- Откройте ссылку, которой только что поделились или опубликовали.
- Проверьте отображаемый отчет.
Веб-сайт сообщает, обнаружил ли он инъекции кода JavaScript и как он оценивает эти инъекции. Для TikTok веб-сайт показывает следующее:
- Добавляет код CSS, позволяет приложению настраивать внешний вид веб-сайта.
- Отслеживает все нажатия на веб-сайты, включая нажатия на все кнопки и ссылки.
- Отслеживает все вводы с клавиатуры на веб-сайтах.
- Получает заголовок веб-сайта.
- Получает информацию об элементе на основе координат, которые можно использовать для отслеживания элементов, на которые нажимает пользователь.
Еще одно популярное приложение Instagram также внедряет код JavaScript. Хотя он не отслеживает ввод с клавиатуры, он отслеживает все сообщения JavaScript и все выделения текста, а также внедряет внешний код JavaScript.
Все обнаруженные команды JavaScript также перечислены для более глубокого изучения.
Вы можете проверить Сообщение блогакоторый предлагает дополнительную информацию.
Краузе отмечает, что сайт может не обнаруживать все инъекции кода или все выполняемые команды JavaScript. Кроме того, он не обнаруживает нативный код, который могут использовать и приложения.
Защита от агрессивных приложений в браузере
У пользователей мобильных приложений есть всего несколько вариантов. Помимо очевидного удаления приложения с устройства, они могут перенаправлять ссылки на другие браузеры на устройстве. Однако не все приложения поддерживают это. Использование блокировщиков контента на основе DNS также может не помочь, по крайней мере, против потенциального считывания нажатий клавиш или других действий, не связанных с отображением рекламы или отслеживанием.
Теперь ваша очередь: Используете ли вы приложения со встроенным браузером?
Резюме
Название статьи
InAppBrowser показывает, внедряют ли TikTok, Instagram и другие браузерные приложения свой JavaScript
Описание
Некоторые приложения используют встроенные браузеры для отображения веб-контента; InAppBrowser показывает, был ли введен код для отслеживания, денежной или иной выгоды.
Автор
Мартин Бринкманн
Издатель
Новости технологий Ghacks
Логотип
Рекламное объявление
