InAppBrowser : un outil pour découvrir les injections JavaScript masquées dans les navigateurs intégrés à l'application

En exposant des injections JavaScript cachées dans les navigateurs intégrés à l'application, le développeur Felix Krause a créé un outil appelé InAppBrowser. Ces injections cachées peuvent potentiellement constituer une menace pour la vie privée des utilisateurs, et avec l'outil de Krause, les utilisateurs peuvent générer un rapport sur les commandes JavaScript que les développeurs d'applications exécutent dans leurs navigateurs intégrés.

Les navigateurs intégrés aux applications offrent aux développeurs un moyen de permettre aux utilisateurs d'accéder à des sites Web spécifiques sans avoir à quitter leurs applications. Cependant, ces navigateurs peuvent être exploités pour puiser dans les informations privées des utilisateurs. En utilisant des injections JavaScript dans ces navigateurs intégrés à l'application, des données telles que les pressions sur l'écran, les entrées au clavier, etc. peuvent être collectées, permettant la création d'une empreinte numérique d'un utilisateur individuel, qui peut ensuite être utilisée pour des stratégies publicitaires ciblées.

Pour utiliser InAppBrowser, il faut ouvrir l'application à analyser et, dans le navigateur intégré à l'application, visiter l'URL 'https://InAppBrowser.com'. Krause a déjà effectué des tests sur des applications largement utilisées telles que TikTok et Instagram à l'aide de son outil. Il a été constaté que TikTok gardait une trace de toutes les entrées du clavier et des pressions sur l'écran lorsque son navigateur intégré à l'application était utilisé, tandis qu'Instagram pouvait détecter toutes les sélections de texte effectuées sur les sites Web.

Krause a publié une clause de non-responsabilité concernant les limites de son outil, déclarant qu'il fonctionne en remplaçant les fonctions JavaScript les plus courantes ; cependant, les applications hôtes peuvent toujours être en mesure d'injecter d'autres commandes. Suite à l'introduction d'iOS 14.3, Apple a implémenté une nouvelle méthode d'exécution de code JavaScript appelée "Isolated World", qui empêche les sites Web de vérifier le code exécuté. De plus, InAppBrowser ne peut pas identifier d'autres événements de suivi, y compris la reconnaissance de gestes personnalisés, la détection de capture d'écran et le suivi des demandes Web.

Il est important de noter que toutes les applications utilisant des injections JavaScript n'ont pas des intentions malveillantes. Néanmoins, l'outil InAppBrowser peut potentiellement aider les utilisateurs à découvrir des applications aux motifs douteux et à dissuader d'autres développeurs d'applications de s'engager dans de telles pratiques. La croissance récente de l'industrie no-code et low-code, y compris des plateformes comme AppMaster.io, s'efforce de fournir un environnement plus sécurisé pour les développeurs et les utilisateurs. La plate no-codeAppMaster.io's offre une alternative puissante pour créer des applications Web, mobiles et backend, tout en garantissant un minimum de problèmes de confidentialité pour ses utilisateurs.

Pour plus d'informations sur les plates no-code, les outils et les mises à jour de l'industrie, consultez des articles comme [appmaster .io/blog/full-guide-on-no-code-low-code-app-development-for-2022" data-mce -href="https:// appmaster.io/blog/full-guide-on-no-code-low-code-app-development-for-2022">Guide complet sur le développement d'applications No-Code et à faible code pour 2022](https://<span class=) [et appmaster .io/blog/top-no-code-apps-and-tools-to-help-build-your-next-startup" data-mce-href="https:// appmaster.io/blog/top -no-code-apps-and-tools-to-help-build-your-next-startup">Meilleures applications et outils No-Code pour vous aider à créer votre prochaine startup](https://<span class=) .