Privacidade no iOS: anunciado o InAppBrowser.com, que permite ver qual JavaScript é injetado em navegadores embutidos em apps
(krausefx.com)Na semana passada, houve um relato de que o Facebook/Instagram injeta um arquivo chamado pcm.js no navegador embutido do app para monitorar tudo o que o usuário faz dentro desse navegador.
Foi lançado o InAppBrowser.com, que permite detectar isso.
- Compartilhe essa URL com o app e abra-a no navegador embutido do app
- É possível ver se houve injeção de JavaScript no navegador embutido
- Se aparecer em amarelo, nenhum JavaScript injetado foi detectado. (Se você abrir normalmente, sem usar o navegador embutido, ele aparece em amarelo)
- Se aparecer em vermelho, algo foi injetado.
- Ele mostra, de forma organizada, quais ações podem ser monitoradas e até que código está sendo injetado.
Sobre a injeção de código:
- No iOS 14.3, foi introduzido o WKContentWorld, com suporte à execução de código JavaScript, e é por meio disso que a injeção é feita
- A Apple também oferece o SFSafariViewController para impedir isso, portanto, se um app usar o SFSafariViewController, não será possível injetar código
- O status de apps populares como Twitter, Reddit, YouTube, Telegram, Slack e WhatsApp é atualizado continuamente
A recomendação para os usuários é usar a opção "Open in browser" em vez do navegador embutido, para visualizar a web no navegador padrão do sistema.
2 comentários
Parece que não aparece nada nos navegadores in-app do KakaoTalk e do Naver. Curiosamente, apareceu algo no navegador do PC... (o culpado era uma extensão do navegador)
Instagram/Facebook conseguem rastrear tudo o que você faz no navegador in-app
Este é o texto de acompanhamento daquele post. O assunto virou um tema bem grande, então pelo visto até criaram um site para divulgar isso. Obrigado por compartilhar!