Браузеры в приложениях являются дешевыми по сравнению с полнофункциональными приложениями, но они также представляют собой серьезный риск для конфиденциальности и безопасности. Многие приложения протаскивают трекеры данных на веб-сайты, которые вы посещаете через браузер приложения, используя метод под названием Javascript injection, который добавляет дополнительный код на страницу при ее загрузке. Эти трекеры могут собирать историю посещений, данные для входа в систему и даже нажатия на клавиатуру и ввод текста.
Хотя инъекция Javascript не всегда используется в неблаговидных целях, она представляет собой потенциальную угрозу безопасности, которую до сих пор было трудно проверить в браузерах in-app. К счастью, новый инструмент исследователя безопасности Феликса Краузе под названием InAppBrowser проверяет, использует ли встроенный браузер приложения потенциально опасные инъекции Javascript для отслеживания ваших данных.
Хотя InAppBrowser работает только в приложениях, имеющих встроенный веб-браузер, таких как TikTok, Instagram* или Messenger, вы также можете использовать его на рабочем столе для проверки инъекций Javascript из расширений браузера.
Если у вас есть подозрения в отношении какого-либо приложения или расширения браузера, попробуйте использовать InAppBrowser, чтобы проверить, не делает ли оно чего-нибудь подозрительного.
Вот как это делается:
1. На мобильных устройствах [iOS/Android]: Откройте приложение, которое вы хотите протестировать, и загрузите сайт inappbrowser.com во встроенном веб-браузере приложения. Простой способ сделать это - отправить ссылку самому себе в сообщении, комментарии или посте. Или откройте ссылку на веб-сайт в приложении (подойдет любая веб-ссылка), а затем перейдите на сайт https://inappbrowser.com.
2. На персональном компьютере: Чтобы проверить веб-сайты и расширения браузера на компьютере, откройте предпочитаемый браузер и перейдите на сайт inappbrowser.com.
3. Когда сайт загрузится, вы увидите сообщение с подробным описанием любого потенциально небрежного поведения Javascript, которое перехватывает InApBrowser (если таковое имеется), а также пояснения, для чего может использоваться этот код. Эти данные могут помочь вам обнаружить возможное вредоносное поведение, но есть несколько предостережений.
Самое главное, InAppBrowser только предупреждает о существовании инъекций Javascript и не может определить, является ли приложение или расширение браузера действительно вредоносным! Он даже отмечает приложения и расширения браузера, которые используют инъекции Javascript, но не отслеживают вас. Это означает, что расширения для приватного просмотра, блокирующие трекеры веб-сайтов, приложения, собирающие данные о просмотре сайтов для рекламы или устранения неполадок (например, TikTok), и вредоносные приложения, которые откровенно шпионят за вами, будут выдавать одинаковые предупреждения. Даже Краузе предостерегает от поспешных выводов, если приложение использует инъекции Javascript.
Аналогично, InAppBrowser не может предупредить вас о других формах отслеживания, которые могут использовать приложения, браузеры и веб-сайты. Это означает, что приложение может пройти тест InAppBrowser, но при этом собирать ваши данные другими способами, поэтому не стоит полагаться на InAppBrowser как на единственный метод проверки безопасности приложения. Тем не менее, важно знать, использует ли приложение инъекции Javascript - злонамеренно или иным образом - чтобы вы могли решить для себя, стоит ли использовать это приложение.
Если вы обнаружили, что приложение может следить за вами, и хотите остановить это, у вас есть несколько вариантов. Лучшее решение - удалить приложение. Если его нет на вашем телефоне, оно не может вас отслеживать.
Если вы хотите сохранить приложение, но запретить его слежку, зайдите в настройки приложения и посмотрите, можете ли вы изменить браузер по умолчанию на предпочитаемое приложение, например, Safari, Firefox или даже Chrome. Safari - особенно хороший вариант, так как последние версии блокируют многие из тех действий Javascript, о которых предупреждает InAppBrowser.
Кроме того, отключите отслеживание приложений в меню настроек iOS или Android. Это более эффективно для пользователей iOS, но может помешать отслеживанию рекламы и на Android. Отключите также отслеживание местоположения. Честно говоря, я рекомендую изменить эти настройки в любом случае, даже если каждое используемое вами приложение проходит тест на проверку Javascript.
* - запрещен в России; принадлежит корпорации Meta,которая признана в России экстремистской.
Спасибо за просмотр!
Если вам была полезна данная статья, то подписывайтесь на канал и ставьте лайки, это помогает в продвижении канала и мотивирует делать новый контент!
