InAppBrowser – Mobil Uygulamanın Tarayıcısını Kontrol Etmek İçin Yeni Bir Çevrimiçi Araç Gizlilik Riskidir
Entegre tarayıcılar içeren popüler mobil uygulamalar kullanılarak ziyaret edilen web sitelerine JavaScript enjeksiyonunun son keşfi ciddi endişelere yol açmıştır.
Kod enjeksiyon teknikleri Facebook, Instagram ve TikTok gibi popüler sosyal medya platformlarında yaygın olarak kullanılmaktadır. Bunu, esas olarak, kullanıcıların uygulamanın kendisinde bulunan web tarayıcısında görüntülenen herhangi bir web sitesinde yaptıkları tüm eylemleri izlemek için yaparlar.
InAppBrowser adlı bir web sitesi, Felix Krause tarafından hangi tarayıcıların uygulamalarına kod enjekte ettiğini kullanıcıya göstermenin bir yolu olarak oluşturuldu.
🔥 New Post: Announcing InAppBrowser - see what JavaScript commands get injected through an in-app browser
— Felix Krause (@KrauseFx) August 18, 2022
👀 TikTok, when opening any website in their app, injects tracking code that can monitor all keystrokes, including passwords, and all taps.https://t.co/TxN1ezZX71 pic.twitter.com/pQcX5vrEXc
Cep telefonundaki yerleşik web tarayıcısı bir kullanıcının etkinliklerini izlerken, kullanıcının yaptığı her şeyi izlemez.
Yalnızca sosyal medya uygulamaları içinden erişilen sayfalar uygulama tarafından izlenir; başka hiçbir site izlenmez. İzlemeyi önlemenin çözümü, daha fazla güvenlik sunan bir tarayıcı kullanmaktır.
Çoğu cep telefonunda, köprü tıklatıldığında, telefondaki köprüyü açmak için kullanılan uygulama, telefon kullanıcısına web'de gezinmek için hangi tarayıcıyı kullanmak istediğini sorar. Buna rağmen, popüler sosyal ağ uygulamaları tarafından böyle bir talepte bulunulmamaktadır.
InAppBrowser Nasıl Kullanılır?
Aşağıda, InAppBrowser'ı kullanma kılavuzundan bahsettik:
- Analiz etmek istediğiniz uygulamayı açmalısınız.
- Uygulamada https://InAppBrowser.com bağlantıyı elde etmek için lütfen uygulama içindeki paylaşım işlevini kullanın.
- Az önce biriyle paylaştığınız veya sosyal medyada yeni yayınlanan bağlantıyı açın.
- Ekranda görüntülenen rapora bir göz atın.
- İşte bu kadar.
Web sitesine uygun olarak, aşağıdaki bilgiler ortaya çıkar:
- Uygulamaya CSS kodu ekleyerek, web sitesinin görünümü tercihlerinize göre özelleştirilebilir.
- Bu web uygulaması, web sitelerinde gerçekleşen tüm dokunuşları izler.
- Web sitesindeki her klavye girişinin izlenmesini sağlar.
- Web sitesinin başlığını alır.
- Koordinatları temel alan her öğe hakkındaki bilgileri kullanarak kullanıcının hangi öğeleri tıklattığını izlemek mümkündür.
Krause'un güvencelerine rağmen, sitede tüm JavaScript komutları algılanmaz ve tüm kod enjeksiyonları algılanmaz. Ayrıca, uygulamalar tarafından da kullanılabilecek yerel kodu algılayamaz.
Yazımı okuduğunuz için teşekkürler eder, Saygılar ve sevgilerle.
Kaynak: Cyber Security News