InAppBrowser: инструмент для обнаружения скрытых инъекций JavaScript во встроенных браузерах

Выявив скрытые инъекции JavaScript в браузерах приложений, разработчик Феликс Краузе создал инструмент под названием InAppBrowser. Эти скрытые инъекции потенциально могут представлять угрозу конфиденциальности пользователей, а с помощью инструмента Краузе пользователи могут создавать отчеты о командах JavaScript, которые разработчики приложений запускают в браузерах своих приложений.

Браузеры в приложениях предоставляют разработчикам возможность предоставлять пользователям доступ к определенным веб-сайтам, не выходя из своих приложений. Однако эти браузеры можно использовать для доступа к личной информации пользователей. С помощью инъекций JavaScript в этих встроенных браузерах можно собирать такие данные, как касания экрана, ввод с клавиатуры и т. д., что позволяет создавать цифровые отпечатки пальцев отдельных пользователей, которые затем можно использовать для целевых рекламных стратегий.

Чтобы использовать InAppBrowser, нужно открыть приложение, которое нужно проанализировать, и во встроенном в приложение браузере посетить URL-адрес «https://InAppBrowser.com». Краузе уже провел тесты широко используемых приложений, таких как TikTok и Instagram, используя свой инструмент. Было обнаружено, что TikTok отслеживает все вводы с клавиатуры и нажатия на экран, когда используется его браузер в приложении, в то время как Instagram может обнаруживать все выделения текста, сделанные на веб-сайтах.

Краузе выпустил отказ от ответственности, касающийся ограничений своего инструмента, заявив, что он работает, переопределяя наиболее распространенные функции JavaScript; однако хост-приложения могут по-прежнему иметь возможность вводить другие команды. После выпуска iOS 14.3 Apple внедрила новый метод запуска кода JavaScript под названием «Изолированный мир», который делает невозможным проверку исполняемого кода веб-сайтами. Более того, InAppBrowser не может идентифицировать другие события отслеживания, включая распознавание пользовательских жестов, обнаружение снимков экрана и отслеживание веб-запросов.

Важно отметить, что не все приложения, использующие инъекции JavaScript, имеют злонамеренные намерения. Тем не менее, инструмент InAppBrowser потенциально может помочь пользователям обнаружить приложения с сомнительными мотивами и удержать других разработчиков приложений от участия в подобных практиках. Недавний рост индустрии no-code и low-code, включая такие платформы, как AppMaster.io, направлен на обеспечение более безопасной среды как для разработчиков, так и для пользователей. Платформа no-codeAppMaster.io's предлагает мощную альтернативу для создания веб-приложений, мобильных и серверных приложений, обеспечивая при этом минимальные проблемы конфиденциальности для своих пользователей.

Для получения дополнительной информации о платформах, инструментах и отраслевых обновлениях no-code ознакомьтесь с такими статьями, как [appmaster .io/blog/full-guide-on-no-code-low-code-app-development-for-2022" data-mce. -href=" appmaster ">Полное руководство по разработке приложений No-Code и с низким кодом для 2022](https://<span class=) [и мастер приложений .io/blog/top-no-code-apps-and-tools-to-help-build-your-next-startup" data-mce-href="https:// appmaster.io/blog/top -no-code-apps-and-tools-to-help-build-your-next-startup">Лучшие приложения и инструменты No-Code, которые помогут создать ваш следующий стартап](https://<span class=) .