iOS-Datenschutz: InAppBrowser.com vorgestellt, mit dem man sehen kann, welches JavaScript in In-App-Browser eingeschleust wird
(krausefx.com)Letzte Woche gab es einen Bericht darüber, dass Facebook/Instagram eine Datei namens pcm.js in den In-App-Browser einschleust und damit sämtliches Verhalten der Nutzer im In-App-Browser überwacht.
Nun wurde InAppBrowser.com veröffentlicht, mit dem sich das erkennen lässt.
- Teilt die URL mit der App und öffnet sie im In-App-Browser.
- Dann kann man sehen, ob JavaScript in den In-App-Browser eingeschleust wurde.
- Erscheint die Seite gelb, wurde kein eingeschleustes JavaScript erkannt. (Wenn man sie nicht im In-App-Browser, sondern normal öffnet, erscheint sie gelb.)
- Erscheint sie rot, wurde irgendetwas eingeschleust.
- Es zeigt außerdem übersichtlich an, welche Aktionen überwacht werden können und welcher Code eingeschleust wird.
Zum Thema Code-Injektion:
- Mit iOS 14.3 wurde
WKContentWorldeingeführt, das die Ausführung von JavaScript-Code unterstützt; darüber erfolgt die Code-Injektion. - Apple stellt auch
SFSafariViewControllerbereit, um dies zu verhindern; verwendet eine AppSFSafariViewController, kann kein Code eingeschleust werden. - Der Status bekannter Apps wie Twitter, Reddit, YouTube, Telegram, Slack und WhatsApp wird laufend aktualisiert.
Nutzern wird empfohlen, statt des In-App-Browsers auf "Open in browser" zu tippen und die Website im Standardbrowser des Betriebssystems zu öffnen.
2 Kommentare
Im In-App-Browser von KakaoTalk und Naver wird offenbar nichts angezeigt. Überraschenderweise erschien etwas im PC-Browser … (der Täter war eine Browser-Erweiterung)
Instagram/Facebook kann im In-App-Browser alles nachverfolgen, was man tut
Das ist wohl der Nachfolgeartikel zu diesem Beitrag. Das Thema wurde ziemlich groß, deshalb hat man es offenbar gleich als eigene Website erstellt und veröffentlicht. Danke fürs Teilen!