InAppBrowser 揭示了 TikTok、Instagram 和其他带有浏览器的应用程序是否注入了他们的 JavaScript

本月早些时候,有消息称带有集成浏览器的流行移动应用程序将自定义 JavaScript 注入到访问的站点中。 Facebook、Instagram 和 TikTok 都使用代码注入技术来虚拟跟踪应用用户在应用内浏览器中打开的任何网站上所做的任何事情。

检查inapp浏览器javascript注入

拥有违规应用程序的公司可以通过多种方式从中受益。 首先,因为一切都发生在幕后,大多数用户都没有怀疑。 其次,因为应用内浏览器不支持内容拦截器或在使用时泄露隐私信息。

大多数公司使用应用内浏览器和代码注入来进行跟踪和获利,但有些公司可能会使用代码来监控所有用户活动,包括所有击键。

Felix Krause 创建了 InAppBrowser 网站,该网站旨在向用户显示应用内浏览器是否正在注入代码。

下面是它的工作原理:

  1. 打开要分析的应用程序。
  2. 使用应用程序内的共享功能将链接 https://InAppBrowser.com 获取到应用程序中。 你可以 DM 联系人或公开发布。
  3. 打开刚刚共享或发布的链接。
  4. 检查显示的报告。

该网站显示它是否检测到 JavaScript 代码注入以及它如何评价这些注入。 对于 TikTok,该网站显示以下内容:

  • 添加 CSS 代码,允许应用自定义网站的外观。
  • 监控网站上发生的所有点击,包括对所有按钮和链接的点击。
  • 监控网站上的所有键盘输入。
  • 获取网站标题。
  • 根据坐标获取有关元素的信息,可用于跟踪用户单击了哪些元素。

另一个流行的应用程序 Instagram 也注入了 JavaScript 代码。 虽然它不监视键盘输入,但它确实监视所有 JavaScript 消息和所有文本选择,并注入外部 JavaScript 代码。

还列出了所有检测到的 JavaScript 命令以进行更深入的检查。

你可以查看博客文章,其中提供了更多详细信息。

Krause 指出,该站点可能无法检测到所有代码注入或所有已执行的 JavaScript 命令。 此外,它不会检测应用程序也可能使用的本机代码。

防止侵入性浏览器内应用程序

移动应用程序用户只有几个选择。 除了显而易见的,从设备中删除应用程序外,他们还可以将链接重定向到设备上的其他浏览器。 不过,并非所有应用程序都支持这一点。 使用基于 DNS 的内容拦截器也可能无济于事,至少对潜在的击键阅读或其他与广告显示或跟踪无关的活动没有帮助。

现在你:你使用带有应用内浏览器的应用程序吗?

广告

资讯来源:由0x资讯编译自GHACKS。版权归作者Martin Brinkmann所有,未经许可,不得转载
提示:投资有风险,入市需谨慎,本资讯不作为投资理财建议。请理性投资,切实提高风险防范意识;如有发现的违法犯罪线索,可积极向有关部门举报反映。
你可能还喜欢