Tool verklapt meegluren door in-app browsers
Al jarenlang weten we dat browsers in apps onveilig zijn. We schreven er zelfs al in 2014 een artikel over. Ontwikkelaar Felix Krause bracht het aan het licht en heeft nu een tool gemaakt waarmee je de JavaScript-commando’s kunt checken die via de in-app browser worden uitgevoerd. De afgelopen dagen was het gevaar van in-app browsers prominent in het nieuws, omdat Facebook en Instagram via hun eigen browsers precies kunnen volgen wat je doet. Maar ook TikTok maakt zich er schuldig aan. Zij kunnen alle toetsaanslagen en aanrakingen op het scherm volgen via de in-app browser. TikTok geeft je niet eens de mogelijkheid om een link in Safari te openen en dwingt je om hun onveilige in-app browser te gebruiken.
De tool die Felix Krause nu ontwikkeld heeft heet InAppBrowser en is door iedereen te installeren. Je kunt hiermee controleren of de webbrowser in een app JavaScript-code gebruikt om mensen te volgen. In-app browsers vind je in allerlei apps. Tik je op een linkje binnen zo’n app, dan word je niet doorgestuurd naar Safari maar krijg je de eigen browser te zien. Dergelijke browsers zijn gebaseerd op Safari’s WebKit, maar bieden ook de mogelijkheid om eigen JavaScript-code te gebruiken en ontwikkelaars doen dat dan ook. Vooral bij bedrijven met een twijfelachtige reputatie zoals Meta en TikGok gebeurt het op grote schaal: de ontwikkelaar kan elke tik op het scherm, alle toetsenbordinvoer en andere acties in de gaten houden. Met die data kan een beter profiel worden opgebouwd van de persoon. Vaak wordt dit gebruikt voor reclames.
Zo werkt InAppBrowser
De tool van Krause kan niet álle JavaScript-commando’s herkennen maar geeft wel een indruk of een app erg actief is met het verzamelen van data. Zo werkt het:
- Open een willekeurige app, bijvoorbeeld Instagram of TikTok.
- Deel de volgende URL binnen de app, bijvoorbeeld door deze in een DM naar een vriend te sturen: https://InAppBrowser.com
- Tik op de link in de app om te openen. Je ziet nu de gebruikte JavaScript-commando’s.
Krause heeft de tool getest met enkele populaire apps en ontdekte dat Instagram behalve ingevoerde tekst en schermtaps ook kan zien als je tekst op een website hebt geselecteerd. Goed om te weten: JavaScript wordt niet altijd voor kwaadaardige doelen gebruikt. Lees daarom even het uitgebreidere verhaal op de website van Krause als je meer wilt weten.
Overigens bieden bijna alle apps de mogelijkheid om een normale app te openen, zoals Safari of Chrome. Bij TikTok is dat – zoals al eerder aangegeven – niet mogelijk en daarmee krijgt deze app de slechtste waardering. Snapchat doet het daarentegen erg netjes.
Taalfout gezien of andere suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!
Het laatste nieuws over Apple van iCulture
- Getest: de nieuwe gehoorfuncties op de AirPods Pro (21-10)
- iCulture peilt: wat was jouw favoriete aankondiging van het september-event? (12-09)
- 'Wachtwoorden van Vision Pro-gebruikers waren te achterhalen' (12-09)
- Thread 1.4 komt naar je smart home: dit zijn de 6 verbeteringen (09-09)
- HomeComputerMuseum in Helmond heeft onvoldoende geld binnengehaald (07-09)
Reacties: 0 reacties