Tue. Sep 27th, 2022

Una herramienta creada por el desarrollador Felix Krause revela inyecciones de JavaScript ocultas a través de navegadores en la aplicación. Los navegadores integrados en aplicaciones ofrecen una forma conveniente para que los desarrolladores permitan a los usuarios navegar por sitios web específicos sin salir de sus aplicaciones. Sin embargo, pueden utilizarse para invadir la privacidad de los usuarios. Se puede usar una inyección de JavaScript a través de un navegador en la aplicación para recopilar datos sobre los usuarios, incluidos sus toques en una página web, entradas de teclado y más. Armado con estos datos, se puede crear una “huella digital” de un individuo específico que se puede utilizar para publicidad dirigida. Krause creó una herramienta llamada InAppBrowser que puede generar un informe sobre los comandos de JavaScript que un desarrollador está ejecutando a través de un navegador en la aplicación. Para usar la herramienta, solo tiene que abrir la aplicación que desea analizar y usar el navegador de la aplicación para abrir la URL “https://InAppBrowser.com”. Krause ya probó algunas aplicaciones populares con su herramienta, incluidas TikTok e Instagram. Se descubrió que TikTok monitorea todas las entradas del teclado y los toques de pantalla cuando se usa su navegador en la aplicación. Mientras tanto, Instagram pudo detectar todas las selecciones de texto en los sitios web. En un descargo de responsabilidad sobre las limitaciones de su herramienta, Krause escribió:

“Esta herramienta funciona anulando las funciones de JavaScript más comunes, sin embargo, la aplicación host aún puede inyectar otros comandos. A partir de iOS 14.3, Apple introdujo una nueva forma de ejecutar código JavaScript en un ‘Mundo aislado’, lo que hace imposible que un sitio web verificar qué código se está ejecutando. Además, esta herramienta no puede detectar otro seguimiento de aplicaciones que pueda ocurrir, como el reconocimiento de gestos personalizados, la detección de capturas de pantalla o el seguimiento de eventos de solicitudes web.

No todas las aplicaciones que inyectan código JavaScript lo hacen con fines maliciosos, pero InAppBrowser puede ayudar a descubrir aquellas que lo hacen sin una buena razón y disuadir a otros.

¿Quiere aprender más sobre ciberseguridad y la nube de los líderes de la industria? Eche un vistazo a Cyber ​​Security & Cloud Expo que tendrá lugar en Ámsterdam, California y Londres. El evento se ubica junto con Blockchain Expo. Explore otros próximos eventos y seminarios web de tecnología empresarial impulsados ​​por TechForge aquí. Etiquetas: datos, felix krause, inappbrowser, infosec, JavaScript, privacidad, seguridad