iOS gizliliği: InAppBrowser.com, uygulama içi tarayıcıya hangi JavaScript’in enjekte edildiğini görmeyi sağlıyor
(krausefx.com)Geçen hafta, Facebook/Instagram’ın pcm.js adlı bir dosyayı uygulama içi tarayıcıya enjekte ederek kullanıcının uygulama içi tarayıcıda yaptığı tüm hareketleri izlediğine dair bir rapor yayımlandı.
Bunu tespit edebilen InAppBrowser.com yayımlandı.
- İlgili URL’yi uygulamada paylaşarak uygulama içi tarayıcıda açarsanız
- uygulama içi tarayıcıya JavaScript enjekte edilip edilmediğini görebilirsiniz.
- Sarı renkte görünüyorsa enjekte edilmiş JavaScript tespit edilmemiştir. (Uygulama içi tarayıcıda değil de normal şekilde açarsanız sarı görünür)
- Kırmızı renkte görünüyorsa bir şey enjekte edilmiştir.
- Hangi davranışların izlenebildiğini ve hangi kodun enjekte edildiğini de derleyip gösterir.
Kod enjeksiyonu ile ilgili olarak
- iOS 14.3’te
WKContentWorldtanıtıldı ve JavaScript kod çalıştırma desteği eklendi; kod enjeksiyonu bunun üzerinden yapılıyor - Apple bunu engellemek için
SFSafariViewControllerda sağlıyor; bu nedenleSFSafariViewControllerkullanılırsa kod enjekte edilemez. - Twitter, Reddit, YouTube, Telegram, Slack, WhatsApp gibi popüler uygulamaların durumunu sürekli güncelliyor
Kullanıcılara, uygulama içi tarayıcı yerine "Open in browser" seçeneğine basarak web’i işletim sisteminin varsayılan tarayıcısında görüntülemeleri öneriliyor.
2 yorum
KakaoTalk ve Naver uygulama içi tarayıcısında görünen bir şey yokmuş. İlginç şekilde masaüstü tarayıcıda bir şeyler çıkıyordu.. (suçlu tarayıcı eklentisi)
Instagram/Facebook, uygulama içi tarayıcıda yaptığınız her şeyi takip edebiliyor
Bu yazının devamı niteliğinde. Oldukça gündem olduğu için bunu doğrudan bir siteye dönüştürüp yayımlamışlar. Paylaştığınız için teşekkürler!