InAppBrowser: アプリ内ブラウザに隠された JavaScript インジェクションを発見するツール

アプリ内ブラウザ内に隠された JavaScript インジェクションを公開するために、開発者の Felix Krause は InAppBrowser というツールを作成しました。これらの隠されたインジェクションは、ユーザーのプライバシーを脅かす可能性があります。Krause のツールを使用すると、ユーザーは、アプリ開発者がアプリ内ブラウザーで実行している JavaScript コマンドに関するレポートを生成できます。

アプリ内ブラウザーは、ユーザーがアプリケーションから移動することなく特定の Web サイトにアクセスできるようにする方法を開発者に提供します。ただし、これらのブラウザは、ユーザーの個人情報を利用するために悪用される可能性があります。これらのアプリ内ブラウザー内で JavaScript インジェクションを利用することにより、画面タップ、キーボード入力などのデータを収集して、個々のユーザーのデジタル フィンガープリントを作成し、ターゲットを絞った広告戦略に使用することができます。

InAppBrowser を使用するには、分析したいアプリを開き、アプリ内ブラウザーで URL「https://InAppBrowser.com」にアクセスする必要があります。 Krause は、彼のツールを使用して、TikTok や Instagram などの広く使用されているアプリのテストを既に実施しています。 TikTok は、アプリ内ブラウザの使用中にすべてのキーボード入力と画面タップを追跡することが判明しましたが、Instagram は Web サイトで行われたすべてのテキスト選択を検出できました。

Krause は、彼のツールの制限に対処する免責事項を発行し、最も一般的な JavaScript 関数をオーバーライドすることによって機能すると述べました。ただし、ホスト アプリは引き続き他のコマンドを挿入できる可能性があります。 iOS 14.3 の導入後、Apple は「Isolated World」と呼ばれる JavaScript コードを実行する新しい方法を実装しました。これにより、Web サイトは実行されたコードを検証できなくなります。さらに、InAppBrowser は、カスタム ジェスチャの認識、スクリーンショットの検出、Web リクエストの追跡など、他の追跡イベントを識別できません。

JavaScript インジェクションを使用するすべてのアプリに悪意があるわけではないことに注意してください。それにもかかわらず、InAppBrowser ツールは、ユーザーが疑わしい動機を持つアプリを発見し、他のアプリ開発者がそのような行為に関与するのを思いとどまらせるのに役立つ可能性があります。 AppMaster.ioなどのプラットフォームを含むno-codeおよびlow-code業界の最近の成長により、開発者とユーザーの両方により安全な環境を提供することが求められています。 AppMaster.io'sno-codeプラットフォームは、ユーザーのプライバシーに関する懸念を最小限に抑えながら、Web、モバイル、およびバックエンド アプリケーションを作成するための強力な代替手段を提供します。

no-codeプラットフォーム、 [ツール、業界の最新情報について詳しくは、appmaster .io/blog/full-guide-on-no-code-low-code-app-development-for-2022" data-mce などの記事をご覧ください。 -href="https:// appmaster.io/blog/full-guide-on-no-code-low-code-app-development-for-2022"> No-Codeおよびローコード アプリ開発の完全ガイド2022](https://<span class=) [および appmaster .io/blog/top-no-code-apps-and-tools-to-help-build-your-next-startup" data-mce-href="https:// appmaster.io/blog/top -no-code-apps-and-tools-to-help-build-your-next-startup">次のスタートアップの構築に役立つトップNo-Codeアプリとツール](https://<span class=).