Ett verktyg skapat av utvecklaren Felix Krause avslöjar dolda JavaScript-injektioner genom webbläsare i appar.
Webbläsare i appar erbjuder ett bekvämt sätt för utvecklare att låta användare surfa på specifika webbplatser utan att lämna sina appar. De kan dock användas för att invadera användarnas integritet.
En JavaScript-injektion kan användas via en webbläsare i appen för att samla in data om användare inklusive deras tryck på en webbsida, tangentbordsingångar och mer.
Beväpnad med dessa data kan ett “digitalt fingeravtryck” skapas av en specifik individ som kan användas för riktad reklam.
Krause skapade ett verktyg som heter InAppBrowser som kan generera en rapport om JavaScript-kommandon som en utvecklare kör genom en webbläsare i appen.
För att använda verktyget behöver du bara öppna appen du vill analysera och använda webbläsaren i appen för att öppna URL:en “https://InAppBrowser.com”.
Krause har redan testat några populära appar med sitt verktyg, inklusive TikTok och Instagram.
TikTok visade sig övervaka alla tangentbordsingångar och skärmtryckningar när man använder sin webbläsare i appen. Instagram kunde under tiden upptäcka alla textval på webbplatser.
I en ansvarsfriskrivning om sitt verktygs begränsningar skrev Krause:
“Det här verktyget fungerar genom att åsidosätta de vanligaste JavaScript-funktionerna, men värdappen kan fortfarande injicera andra kommandon.
Från och med iOS 14.3 introducerade Apple ett nytt sätt att köra JavaScript-kod i en “isolerad värld”, vilket gör det omöjligt för en webbplats att verifiera vilken kod som körs.
Det här verktyget kan inte heller upptäcka annan appspårning som kan inträffa, till exempel anpassad gestigenkänning, skärmdumpsdetektering eller spårning av webbförfråganshändelser.”
Inte alla appar som injicerar JavaScript-kod gör det i skadliga syften, men InAppBrowser kan hjälpa till att avslöja de som gör det utan goda skäl och avskräcka andra.
Vill du lära dig mer om cybersäkerhet och molnet från branschledare? Kolla in Cyber Security & Cloud Expo som äger rum i Amsterdam, Kalifornien och London. Evenemanget är samlokaliserat med Blockchain Expo.
Utforska andra kommande teknologievenemang och webbseminarier för företag som drivs av TechForge här.
