На веб-сайте InAppBrowser.com появился инструмент, который позволит вам узнать, как приложения популярных социальных сетей внедряют свой JavaScript-код на сторонние сайты, которые открываются во встроенном браузере. Это важно, потому что такой код создает риски для безопасности и конфиденциальности пользователя.
По словам разработчика, инструмент составляет список JavaScript-команд, которые выполняет встроенный в iOS-приложение браузер.
Как пользоваться инструментом:
Откройте приложение, которое хотите проанализировать;
Закиньте ссылку InAppBrowser.com в нужное вам приложение. Вы можете отправить ее кому-нибудь в личные сообщения или выложить на своей странице;
Откройте ссылку;
Прочтите отчет.
В отчете вы узнаете, обнаружил ли инструмент инъекции JS-кода и как он их оценивает. Например, для TikTok инструмент выдал следующий результат:
Добавляет CSS-код, позволяющий приложению настраивать внешний вид веб-сайта;
Отслеживает все нажатия кнопки и ссылки;
Отслеживает все, что пользователь вводит с клавиатуры на веб-сайтах;
Получает заголовок веб-сайта;
Получает информацию об элементе на основе координат, которые можно использовать для отслеживания элементов, на которые нажимает пользователь.
Исходный код инструмента доступен на GitHub . Разработчик надеется , что это позволит сообществу со временем обновлять и улучшать его.
*принадлежит Meta — признана в России экстремистской организацией; ей принадлежат Facebook и Instagram.
Источник: SecurityLab