InAppBrowser: narzędzie do wykrywania ukrytych wstrzyknięć kodu JavaScript w przeglądarkach w aplikacjach

Ujawniając ukryte wstrzyknięcia JavaScript w przeglądarkach w aplikacjach, programista Felix Krause stworzył narzędzie o nazwie InAppBrowser. Te ukryte zastrzyki mogą potencjalnie stanowić zagrożenie dla prywatności użytkowników, a dzięki narzędziu Krause użytkownicy mogą generować raport na temat poleceń JavaScript, które twórcy aplikacji uruchamiają w swoich przeglądarkach.

Przeglądarki w aplikacjach zapewniają programistom sposób na umożliwienie użytkownikom dostępu do określonych stron internetowych bez konieczności opuszczania ich aplikacji. Jednak te przeglądarki mogą być wykorzystywane do uzyskiwania dostępu do prywatnych informacji użytkowników. Wykorzystując zastrzyki JavaScript w tych przeglądarkach w aplikacjach, można gromadzić dane, takie jak dotknięcia ekranu, dane wprowadzane z klawiatury i inne, umożliwiając utworzenie cyfrowego odcisku palca indywidualnego użytkownika, który można następnie wykorzystać do ukierunkowanych strategii reklamowych.

Aby korzystać z InAppBrowser, należy otworzyć aplikację, którą chcesz przeanalizować, aw przeglądarce w aplikacji odwiedzić adres URL „https://InAppBrowser.com”. Krause przeprowadził już testy na powszechnie używanych aplikacjach, takich jak TikTok i Instagram, używając swojego narzędzia. Stwierdzono, że TikTok śledzi wszystkie wpisy na klawiaturze i stuknięcia ekranu, gdy używana jest przeglądarka w aplikacji, podczas gdy Instagram może wykryć wszystkie zaznaczenia tekstu dokonane na stronach internetowych.

Krause wydał zastrzeżenie odnoszące się do ograniczeń swojego narzędzia, stwierdzając, że działa ono poprzez zastąpienie najpopularniejszych funkcji JavaScript; jednak aplikacje hosta mogą nadal być w stanie wprowadzać inne polecenia. Po wprowadzeniu iOS 14.3 Apple wdrożyło nową metodę uruchamiania kodu JavaScript o nazwie „Isolated World”, która uniemożliwia stronom internetowym weryfikację wykonanego kodu. Co więcej, InAppBrowser nie może identyfikować innych zdarzeń śledzenia, w tym rozpoznawania niestandardowych gestów, wykrywania zrzutów ekranu i śledzenia żądań sieciowych.

Należy zauważyć, że nie wszystkie aplikacje wykorzystujące wstrzykiwanie kodu JavaScript mają złośliwe zamiary. Niemniej jednak narzędzie InAppBrowser może potencjalnie pomóc użytkownikom odkryć aplikacje o wątpliwych motywach i zniechęcić innych twórców aplikacji do angażowania się w takie praktyki. Niedawny rozwój branży no-code i low-code, w tym platform takich jak AppMaster.io, ma na celu zapewnienie bezpieczniejszego środowiska zarówno dla programistów, jak i użytkowników. Platforma AppMaster.io'sno-code oferuje potężną alternatywę do tworzenia aplikacji internetowych, mobilnych i zaplecza, zapewniając jednocześnie użytkownikom minimalne obawy dotyczące prywatności.

Aby uzyskać więcej informacji na temat platform, narzędzi i aktualizacji branżowych no-code, zapoznaj się z artykułami takimi jak [appmaster .io/blog/full-guide-on-no-code-low-code-app-development-for-2022" data-mce -href="https:// appmaster.io/blog/full-guide-on-no-code-low-code-app-development-for-2022">Pełny przewodnik na temat tworzenia aplikacji No-Code i z małą ilością kodu dla 2022](https://<span class=) [i appmaster .io/blog/top-no-code-apps-and-tools-to-help-build-your-next-startup" data-mce-href="https:// appmaster.io/blog/top -no-code-apps-and-tools-to-help-build-your-next-startup">Najlepsze aplikacje i narzędzia No-Code, które pomogą Ci zbudować następny startup](https://<span class=) .