L'outil affiche le code JavaScript injecté via le navigateur intégré à l'application

L’outil affiche le code JavaScript injecté via le navigateur intégré à l’application

Il y a quelques jours, le développeur Felix Krause a partagé un rapport détaillé sur la façon dont les applications mobiles peuvent utiliser leur propre navigateur Web intégré pour suivre les données des utilisateurs. Maintenant, Krause est de retour avec un nouvel outil qui permet à quiconque de voir les commandes JavaScript injectées via un navigateur intégré à l’application.

La plate-forme s’appelle « InAppBrowser » et tout utilisateur intéressé peut y accéder pour vérifier comment un navigateur Web intégré à une application injecte du code JavaScript pour suivre les personnes.

Pour ceux qui ne sont pas familiers, un navigateur intégré à l’application entre généralement en action lorsqu’un utilisateur appuie sur une URL dans une application. De cette façon, l’application affiche la page Web sans avoir à rediriger l’utilisateur vers une application de navigateur externe, telle que Safari ou Google Chrome.

Cependant, bien que ces navigateurs intégrés à l’application soient basés sur le WebKit de Safari sur iOS, les développeurs peuvent les modifier pour exécuter leur propre code JavaScript. En conséquence, les utilisateurs sont plus susceptibles d’être suivis à leur insu. Par exemple, une application peut utiliser un navigateur intégré personnalisé pour collecter tous les clics sur une page Web, les entrées au clavier, le titre du site Web, etc.

Ces données peuvent être utilisées pour créer une empreinte numérique d’une personne. Dans la plupart des cas, les données collectées auprès des internautes sont utilisées à des fins de publicité ciblée. Krause note que la plate-forme ne peut pas détecter toutes les commandes JavaScript, mais elle donne toujours aux utilisateurs un meilleur aperçu des données que les applications collectent.

L’utilisation de l’outil InAppBrowser est assez simple. Tout d’abord, vous ouvrez une application que vous souhaitez analyser. Ensuite, vous partagez l’URL « https://InAppBrowser.com » quelque part dans l’application (vous pouvez l’envoyer en tant que DM à un ami). Appuyez sur le lien dans l’application pour l’ouvrir et obtenir un rapport sur les commandes JavaScript.

Krause a également testé l’outil avec certaines applications populaires afin que vous n’ayez pas à le faire. Par exemple, TikTok peut surveiller toutes les entrées au clavier et les pressions sur l’écran lorsque vous ouvrez une URL à l’aide du navigateur intégré à l’application. Pendant ce temps, Instagram peut même détecter toutes les sélections de texte sur les sites Web.

Bien sûr, le développeur note également que toutes les applications qui injectent du code JavaScript dans un navigateur intégré à l’application ne le font pas à des fins malveillantes, car JavaScript est à la base de nombreuses fonctionnalités Web. Vous pouvez trouver plus de détails à ce sujet sur le site Web de Krause.


Découvrez 9to5Mac sur YouTube pour plus d’actualités Apple :

★★★★★