为什么IG和TikTok会注入JS代码,开发者推出了开源工具来找出各种软件(Facebook、Instagram、Messenger)通过使用应用内网络浏览器(in-appwebbrowser)并注入JavaScript代码来跟踪用户数据。可以获得的数据包括访问的网站、屏幕点击、击键和文本选择等。除了Meta,FelixKrause后来发现TikTok也会用类似的方法收集用户数据。为了让所有用户都能清楚地看到通过应用内浏览器注入的JavaScript代码,安全研究员FelixKrause推出了一款新的开源工具——InAppBrowser,使用无门槛(后面会介绍),用户可以使用它可用于检查应用程序中嵌入的Web浏览器如何注入JavaScript代码来跟踪用户。对于不熟悉应用内浏览器的朋友,这里先做一个说明。应用内浏览器通常在用户单击应用内的URL时发挥作用,通常是通过创建WebView实例并将公共URL或应用资源中的某些内容加载到该实例中。这样,应用程序将直接显示网页,而无需将用户重定向到外部浏览器。iOS和Android的应用内浏览器在很多方面都很相似,当然它们都提供了自己的特定于平台的方法来启用/禁用某些功能。以安全研究员FelixKrause的发现为例。虽然Meta和TikTok应用内浏览器使用基于iOS的SafariWebKit,但开发者可以修改它们以运行自己的JavaScript代码。因此,用户更有可能在他们不知情的情况下被跟踪。例如,应用程序可以使用自定义应用程序内浏览器来收集网页上的所有点击、击键、网站标题等。通过收集这些数据,这些应用程序可以创建用户的数字指纹,并以此为基础向用户推送更有针对性的广告、视频和帖子。另外,由于可以监听用户的屏幕点击和键盘输入,如果用户在应用内浏览器中输入银行账号、身份信息等敏感内容,风险会更高。Krause指出,InAppBrowser尚未检测到所有JavaScript代码,但它仍然可以让用户更深入地了解应用程序正在收集哪些数据。如何使用InAppBrowser工具InAppBrowser工具的使用非常简单。首先打开一个你要分析的应用,然后把这个网址分享到应用的某个地方(比如https://InAppBrowser.com,把这个网址私信给朋友),最后在应用中点击这个链接就可以了打开它,您可以获得有关JavaScript注入代码的报告。当然,开发人员还指出,并非所有将JavaScript代码注入应用内浏览器的应用都是恶意的,因为JavaScript是许多网络功能的基础。InAppBrowser在GitHub上开源,并在MIT许可下分发。本文转自OSCHINA文章标题:为什么IG和TikTok注入JS代码,开发者推出开源工具一探究竟。本文地址:https://www.oschina.net/news/207252/in-app-browser-javascript-tool
