本周��,一件有關(guān) iOS 隱私安全的事件在國(guó)外引發(fā)了熱議,事件的起因是安全研究員 Felix Krause 發(fā)現(xiàn) Meta 公司旗下的多款軟件(Facebook、Instagram�����、Messenger)通過(guò)使用應(yīng)用內(nèi)網(wǎng)絡(luò)瀏覽器(in-app web browser)和注入的 JavaScript 代碼來(lái)跟蹤用戶數(shù)據(jù)�����,能夠獲得的數(shù)據(jù)包括訪問(wèn)的網(wǎng)站、屏幕點(diǎn)擊�����、鍵盤(pán)輸入�,以及文本選擇等內(nèi)容。
除了 Meta�����,之后 Felix Krause 還發(fā)現(xiàn) TikTok 也會(huì)采用類(lèi)似的方式來(lái)收集用戶數(shù)據(jù)��。
為了讓所有用戶都可以清楚地看到通過(guò)應(yīng)用內(nèi)瀏覽器注入的 JavaScript 代碼,安全研究員 Felix Krause 推出了一個(gè)全新的開(kāi)源工具 —— InAppBrowser����,這個(gè)工具使用起來(lái)毫無(wú)門(mén)檻(稍后會(huì)介紹),用戶可以使用它來(lái)檢查嵌入在應(yīng)用程序中的網(wǎng)絡(luò)瀏覽器如何注入 JavaScript 代碼來(lái)跟蹤用戶�����。
對(duì)于那些不熟悉應(yīng)用內(nèi)瀏覽器的人來(lái)說(shuō)���,這是還是先解釋一下�。應(yīng)用內(nèi)瀏覽器通常在用戶點(diǎn)擊應(yīng)用內(nèi)的一個(gè) URL 時(shí)開(kāi)始運(yùn)作��,通常都是通過(guò)創(chuàng)建 WebViews 的實(shí)例�����,并將公共 URL 或應(yīng)用資源中的一些內(nèi)容加載到這個(gè)實(shí)例中���。這樣應(yīng)用程序就會(huì)直接顯示網(wǎng)頁(yè)����,而不必將用戶重定向到外部瀏覽器���。iOS 和 Android 的應(yīng)用內(nèi)瀏覽器在很多方面都很相似�,當(dāng)然兩者也提供了各自的平臺(tái)特定方法,用于啟用 / 禁用一些功能�����。
以此次安全研究員 Felix Krause 的發(fā)現(xiàn)為例�,盡管 Meta 和 TikTok 應(yīng)用內(nèi)瀏覽器使用的是基于 iOS 上的 Safari WebKit,但開(kāi)發(fā)者可以修改它們來(lái)運(yùn)行自己的 JavaScript 代碼�����。因此����,用戶更容易在不知情的情況下被追蹤����。例如,一個(gè)應(yīng)用程序可以使用自定義的應(yīng)用內(nèi)瀏覽器來(lái)收集網(wǎng)頁(yè)上的所有點(diǎn)擊���、鍵盤(pán)輸入��、網(wǎng)站標(biāo)題等等����。
通過(guò)收集這些數(shù)據(jù),這些應(yīng)用可以創(chuàng)建用戶的數(shù)字指紋��,并以此為基礎(chǔ)向用戶推送更加有針對(duì)性的廣告�、視頻和帖子等。除此之外�,由于可以監(jiān)測(cè)用戶屏幕點(diǎn)擊和鍵盤(pán)輸入,如果用戶在應(yīng)用內(nèi)瀏覽器中輸入了銀行賬號(hào)�、身份信息等敏感內(nèi)容,面臨的風(fēng)險(xiǎn)將會(huì)更高�����。Krause 指出�,InAppBrowser 目前還不能檢測(cè)所有的 JavaScript 代碼,但它仍然可以讓用戶更深入地了解應(yīng)用程序正在收集哪些數(shù)據(jù)�����。
如何使用 InAppBrowser 工具
使用 InAppBrowser 工具是非常簡(jiǎn)單的�����。首先打開(kāi)一個(gè)你想分析的應(yīng)用程序,然后在應(yīng)用內(nèi)的某個(gè)地方分享這個(gè) URL(https://InAppBrowser.com�,例如將 URL 以私信的方式發(fā)送給朋友),最后在應(yīng)用內(nèi)點(diǎn)擊這個(gè)鏈接打開(kāi)它��,就可以得到一份關(guān)于 JavaScript 注入代碼的報(bào)告����。
當(dāng)然開(kāi)發(fā)者還指出,并不是每個(gè)將 JavaScript 代碼注入應(yīng)用內(nèi)瀏覽器的應(yīng)用都是出于惡意的���,因?yàn)?JavaScript 是許多網(wǎng)絡(luò)功能的基礎(chǔ)����。
InAppBrowser 已在 GitHub 開(kāi)源����,并以 MIT 協(xié)議分發(fā)。
本文轉(zhuǎn)自O(shè)SCHINA
本文標(biāo)題:IG�����、TikTok 為何注入 JS 代碼���,開(kāi)發(fā)者推出開(kāi)源工具一探究竟
本文地址:https://www.oschina.net/news/207252/in-app-browser-javascript-tool
本文名稱(chēng):IG、TikTok為何注入JS代碼,開(kāi)發(fā)者推出開(kāi)源工具一探究竟
標(biāo)題網(wǎng)址:
http://uogjgqi.cn/article/djpgdie.html
