InAppBrowser 揭示了 TikTok、Instagram 和其他帶有瀏覽器的應用程序是否注入了他們的 JavaScript
本月早些時候,有消息稱帶有集成瀏覽器的流行移動應用程序將自定義 JavaScript 注入到訪問的站點中。 Facebook、Instagram 和 TikTok 都使用代碼注入技術來虛擬跟蹤應用用戶在應用內瀏覽器中打開的任何網站上所做的任何事情。
擁有違規應用程序的公司可以通過多種方式從中受益。 首先,因為一切都發生在幕後,大多數用戶都沒有懷疑。 其次,因為應用內瀏覽器不支持內容攔截器或在使用時泄露隱私信息。
大多數公司使用應用內瀏覽器和代碼注入來進行跟蹤和獲利,但有些公司可能會使用代碼來監控所有用戶活動,包括所有擊鍵。
Felix Krause 創建了 InAppBrowser 網站,該網站旨在向用戶顯示應用內瀏覽器是否正在注入代碼。
下面是它的工作原理:
- 打開要分析的應用程序。
- 使用應用程序內的共享功能將鏈接 https://InAppBrowser.com 獲取到應用程序中。 您可以 DM 聯繫人或公開發布。
- 打開剛剛共享或發布的鏈接。
- 檢查顯示的報告。
該網站顯示它是否檢測到 JavaScript 代碼注入以及它如何評價這些注入。 對於 TikTok,該網站顯示以下內容:
- 添加 CSS 代碼,允許應用自定義網站的外觀。
- 監控網站上發生的所有點擊,包括對所有按鈕和鏈接的點擊。
- 監控網站上的所有鍵盤輸入。
- 獲取網站標題。
- 根據坐標獲取有關元素的信息,可用於跟蹤用戶單擊了哪些元素。
另一個流行的應用程序 Instagram 也注入了 JavaScript 代碼。 雖然它不監視鍵盤輸入,但它確實監視所有 JavaScript 消息和所有文本選擇,並注入外部 JavaScript 代碼。
還列出了所有檢測到的 JavaScript 命令以進行更深入的檢查。
您可以查看博客文章,其中提供了更多詳細信息。
Krause 指出,該站點可能無法檢測到所有代碼注入或所有已執行的 JavaScript 命令。 此外,它不會檢測應用程序也可能使用的本機代碼。
防止侵入性瀏覽器內應用程序
移動應用程序用戶只有幾個選擇。 除了顯而易見的,從設備中刪除應用程序外,他們還可以將鏈接重定向到設備上的其他瀏覽器。 不過,並非所有應用程序都支持這一點。 使用基於 DNS 的內容攔截器也可能無濟於事,至少對潛在的擊鍵閱讀或其他與廣告顯示或跟蹤無關的活動沒有幫助。
現在你:你使用帶有應用內瀏覽器的應用程序嗎?
廣告