Uno strumento creato dallo sviluppatore Felix Krause rivela le JavaScript injection nascoste tramite i browser in-app.

Uno strumento creato dallo sviluppatore Felix Krause rivela le JavaScript injection nascoste tramite i browser in-app.

I browser in-app offrono agli sviluppatori un modo conveniente per consentire agli utenti di navigare in siti Web specifici senza uscire dalle proprie app. Tuttavia, possono essere utilizzati per invadere la privacy degli utenti.

Una JavaScript injection può essere utilizzata tramite un browser in-app per raccogliere dati sugli utenti, inclusi i loro tocchi su una pagina Web, input da tastiera e altro.

Grazie a questi dati, è possibile creare un'”impronta digitale” di un individuo specifico che può essere utilizzata per pubblicità mirata.

Krause ha creato uno strumento chiamato InAppBrowser in grado di generare un rapporto sui comandi JavaScript che uno sviluppatore esegue tramite un browser in-app.

Per utilizzare lo strumento, devi solo aprire l’app che desideri analizzare e utilizzare il browser in-app per aprire l’URL “https://InAppBrowser.com“.

Krause ha già testato alcune app popolari utilizzando il suo strumento, tra cui TikTok e Instagram.

È stato scoperto che TikTok monitora tutti gli input della tastiera e i tocchi dello schermo quando si utilizza il browser in-app. Instagram, nel frattempo, è stato in grado di rilevare tutte le selezioni di testo sui siti web.

In un disclaimer sui limiti del suo strumento, Krause ha scritto:

“Questo strumento funziona sovrascrivendo le funzioni JavaScript più comuni, tuttavia l’app host potrebbe comunque iniettare altri comandi.

A partire da iOS 14.3, Apple ha introdotto un nuovo modo di eseguire il codice JavaScript in un “mondo isolato”, rendendo impossibile per un sito Web verificare quale codice viene eseguito.

Inoltre, questo strumento non è in grado di rilevare il tracciamento di altre app che potrebbero verificarsi, come il riconoscimento di gesti personalizzati, il rilevamento di schermate o il monitoraggio di eventi di richiesta Web”.

Non tutte le app che iniettano codice JavaScript lo fanno per scopi dannosi, ma InAppBrowser può aiutare a scoprire quelle che lo stanno facendo senza una buona ragione e dissuadere gli altri.

Post Correlati