Deze tool laat zien welke in-app browsers je gedrag volgen

TikTok 👎🏻 Snapchat 👍🏻

Browsers binnen apps zijn niet altijd veilig, zo bleek eerder al. Felix Krause heeft nu een tool gemaakt waarmee je kunt zien of een in-app browser JavaScript-code gebruikt, mogelijk om je daarmee in de gaten te houden.

Gonny van der Zwaag | iCulture.nl - 19 augustus 2022, 13:16

Tool verklapt meegluren door in-app browsers

Al jarenlang weten we dat browsers in apps onveilig zijn. We schreven er zelfs al in 2014 een artikel over. Ontwikkelaar Felix Krause bracht het aan het licht en heeft nu een tool gemaakt waarmee je de JavaScript-commando’s kunt checken die via de in-app browser worden uitgevoerd. De afgelopen dagen was het gevaar van in-app browsers prominent in het nieuws, omdat Facebook en Instagram via hun eigen browsers precies kunnen volgen wat je doet. Maar ook TikTok maakt zich er schuldig aan. Zij kunnen alle toetsaanslagen en aanrakingen op het scherm volgen via de in-app browser. TikTok geeft je niet eens de mogelijkheid om een link in Safari te openen en dwingt je om hun onveilige in-app browser te gebruiken.

De tool die Felix Krause nu ontwikkeld heeft heet InAppBrowser en is door iedereen te installeren. Je kunt hiermee controleren of de webbrowser in een app JavaScript-code gebruikt om mensen te volgen. In-app browsers vind je in allerlei apps. Tik je op een linkje binnen zo’n app, dan word je niet doorgestuurd naar Safari maar krijg je de eigen browser te zien. Dergelijke browsers zijn gebaseerd op Safari’s WebKit, maar bieden ook de mogelijkheid om eigen JavaScript-code te gebruiken en ontwikkelaars doen dat dan ook. Vooral bij bedrijven met een twijfelachtige reputatie zoals Meta en TikGok gebeurt het op grote schaal: de ontwikkelaar kan elke tik op het scherm, alle toetsenbordinvoer en andere acties in de gaten houden. Met die data kan een beter profiel worden opgebouwd van de persoon. Vaak wordt dit gebruikt voor reclames.

Zo werkt InAppBrowser

De tool van Krause kan niet álle JavaScript-commando’s herkennen maar geeft wel een indruk of een app erg actief is met het verzamelen van data. Zo werkt het:

Open een willekeurige app, bijvoorbeeld Instagram of TikTok.
Deel de volgende URL binnen de app, bijvoorbeeld door deze in een DM naar een vriend te sturen: https://InAppBrowser.com
Tik op de link in de app om te openen. Je ziet nu de gebruikte JavaScript-commando’s.

Krause heeft de tool getest met enkele populaire apps en ontdekte dat Instagram behalve ingevoerde tekst en schermtaps ook kan zien als je tekst op een website hebt geselecteerd. Goed om te weten: JavaScript wordt niet altijd voor kwaadaardige doelen gebruikt. Lees daarom even het uitgebreidere verhaal op de website van Krause als je meer wilt weten.

Overigens bieden bijna alle apps de mogelijkheid om een normale app te openen, zoals Safari of Chrome. Bij TikTok is dat – zoals al eerder aangegeven – niet mogelijk en daarmee krijgt deze app de slechtste waardering. Snapchat doet het daarentegen erg netjes.

Je verwacht het niet: Instagram en Facebook kunnen al je webactiviteiten volgen in eigen browser

Je kunt het nauwelijks nog een verrassing noemen: de in-app browser van Instagram en Facebook blijken alles wat je doet te kunnen volgen, zelfs het invoeren van tekst zoals een wachtwoord. Dit is dan ook de reden dat deze apps kiezen voor een eigen in-app browser, in plaats van gebruik te maken van de Safari-versie. Het is de zoveelste keer waaruit blijkt dat moederbedrijf Meta gebruikers probeert te volgen.

Taalfout gezien of andere suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!

Het laatste nieuws over Apple van iCulture