君子以泽,完美世界有声小说

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

IG、TikTok為何注入JS代碼，開發(fā)者推出開源工具一探究竟

本周，一件有關(guān) iOS 隱私安全的事件在國外引發(fā)了熱議，事件的起因是安全研究員 Felix Krause 發(fā)現(xiàn) Meta 公司旗下的多款軟件（Facebook、Instagram、Messenger）通過使用應用內(nèi)網(wǎng)絡瀏覽器（in-app web browser）和注入的 JavaScript 代碼來跟蹤用戶數(shù)據(jù)，能夠獲得的數(shù)據(jù)包括訪問的網(wǎng)站、屏幕點擊、鍵盤輸入，以及文本選擇等內(nèi)容。

除了 Meta，之后 Felix Krause 還發(fā)現(xiàn) TikTok 也會采用類似的方式來收集用戶數(shù)據(jù)。

為了讓所有用戶都可以清楚地看到通過應用內(nèi)瀏覽器注入的 JavaScript 代碼，安全研究員 Felix Krause 推出了一個全新的開源工具 —— InAppBrowser，這個工具使用起來毫無門檻（稍后會介紹），用戶可以使用它來檢查嵌入在應用程序中的網(wǎng)絡瀏覽器如何注入 JavaScript 代碼來跟蹤用戶。

對于那些不熟悉應用內(nèi)瀏覽器的人來說，這是還是先解釋一下。應用內(nèi)瀏覽器通常在用戶點擊應用內(nèi)的一個 URL 時開始運作，通常都是通過創(chuàng)建 WebViews 的實例，并將公共 URL 或應用資源中的一些內(nèi)容加載到這個實例中。這樣應用程序就會直接顯示網(wǎng)頁，而不必將用戶重定向到外部瀏覽器。iOS 和 Android 的應用內(nèi)瀏覽器在很多方面都很相似，當然兩者也提供了各自的平臺特定方法，用于啟用 / 禁用一些功能。

以此次安全研究員 Felix Krause 的發(fā)現(xiàn)為例，盡管 Meta 和 TikTok 應用內(nèi)瀏覽器使用的是基于 iOS 上的 Safari WebKit，但開發(fā)者可以修改它們來運行自己的 JavaScript 代碼。因此，用戶更容易在不知情的情況下被追蹤。例如，一個應用程序可以使用自定義的應用內(nèi)瀏覽器來收集網(wǎng)頁上的所有點擊、鍵盤輸入、網(wǎng)站標題等等。

通過收集這些數(shù)據(jù)，這些應用可以創(chuàng)建用戶的數(shù)字指紋，并以此為基礎向用戶推送更加有針對性的廣告、視頻和帖子等。除此之外，由于可以監(jiān)測用戶屏幕點擊和鍵盤輸入，如果用戶在應用內(nèi)瀏覽器中輸入了銀行賬號、身份信息等敏感內(nèi)容，面臨的風險將會更高。Krause 指出，InAppBrowser 目前還不能檢測所有的 JavaScript 代碼，但它仍然可以讓用戶更深入地了解應用程序正在收集哪些數(shù)據(jù)。

如何使用 InAppBrowser 工具

使用 InAppBrowser 工具是非常簡單的。首先打開一個你想分析的應用程序，然后在應用內(nèi)的某個地方分享這個 URL（https://InAppBrowser.com，例如將 URL 以私信的方式發(fā)送給朋友），最后在應用內(nèi)點擊這個鏈接打開它，就可以得到一份關(guān)于 JavaScript 注入代碼的報告。

當然開發(fā)者還指出，并不是每個將 JavaScript 代碼注入應用內(nèi)瀏覽器的應用都是出于惡意的，因為 JavaScript 是許多網(wǎng)絡功能的基礎。

InAppBrowser 已在 GitHub 開源，并以 MIT 協(xié)議分發(fā)。

本文轉(zhuǎn)自OSCHINA

本文標題：IG、TikTok 為何注入 JS 代碼，開發(fā)者推出開源工具一探究竟

本文地址：https://www.oschina.net/news/207252/in-app-browser-javascript-tool

當前名稱：IG、TikTok為何注入JS代碼，開發(fā)者推出開源工具一探究竟
瀏覽路徑：http://www.fisionsoft.com.cn/article/djpgdie.html

新聞中心

如何使用 InAppBrowser 工具

其他資訊