IG、TikTok 为何注入 JS 代码,开发者推出开源工具一探究竟
本周,一件有关 iOS 隐私安全的事件在国外引发了热议,事件的起因是安全研究员 Felix Krause 发现 Meta 公司旗下的多款软件(Facebook、Instagram、Messenger)通过使用应用内网络浏览器(in-app web browser)和注入的 JavaScript 代码来跟踪用户数据,能够获得的数据包括访问的网站、屏幕点击、键盘输入,以及文本选择等内容。 除了 Meta,之后 Felix Krause 还发现 TikTok 也会采用类似的方式来收集用户数据。 为了让所有用户都可以清楚地看到通过应用内浏览器注入的 JavaScript 代码,安全研究员 Felix Krause 推出了一个全新的开源工具 —— InAppBrowser,这个工具使用起来毫无门槛(稍后会介绍),用户可以使用它来检查嵌入在应用程序中的网络浏览器如何注入 JavaScript 代码来跟踪用户。 对于那些不熟悉应用内浏览器的人来说,这是还是先解释一下。应用内浏览器通常在用户点击应用内的一个 URL 时开始运作,通常都是通过创建 WebViews 的实例,并将公共 URL 或应用资源中...
