Một trang web có tên InAppBrowser đã được Felix Krause tạo ra giúp người dùng có thể biết được trình duyệt đang thu thập những thông tin gì từ người dùng. Gần đây, nhà nghiên cứu bảo mật Felix Krause đã phát hiện trình duyệt tích hợp trong các ứng dụng mạng xã hội như Tiktok, Facebook… có đính kèm mã Javascript theo dõi người dùng, nguy hiểm hơn có ứng dụng có cả chức năng Keylog có thể ghi lại những gì bạn gõ trên bàn phím. Mình sẽ hướng dẫn bạn cách dùng InAppBrowser để kiểm tra trình duyệt có theo dõi bạn không?
Cách dùng InAppBrowser để kiểm tra trình duyệt có theo dõi bạn không?
Theo như thử nghiệm của InAppBrowser, khi dùng TikTok để mở bất kỳ trang web nào trong ứng dụng, sẽ nhập mã theo dõi có thể giám sát tất cả các lần gõ bàn phím, bao gồm cả mật khẩu và tất cả các lần nhấn. Như vậy bạn hoàn toàn có thể bị lộ tài khoản đăng nhập khi dùng TikTok, rất nguy hiểm.
Cách dùng InAppBrowser để liệt kê các lệnh JavaScript được thực thi bởi ứng dụng trên iOS:
Mở ứng dụng (trình duyệt) để phân tích:
- Chia sẻ link https://InAppBrowser.com ở đâu đó bên trong ứng dụng (ví dụ: gửi tin nhắn trực tiếp cho bạn bè hoặc đăng lên New Feed, bình luận)
- Nhấn vào link bạn mới chia sẻ
- Đọc báo cáo trên màn hình, sẽ cho bạn biết trình duyệt này đang theo dõi bạn những nội dung gì
Tác giả InAppBrowser đã sử dụng công cụ này để phân tích các ứng dụng iOS phổ biến nhất có trình duyệt trong ứng dụng của riêng chúng. Dưới đây là kết quả Felix Krause đã tìm thấy.
Đối với phân tích này, tác giả đã loại trừ tất cả các trình duyệt iOS của bên thứ ba (Chrome, Brave, v.v.), vì chúng sử dụng JavaScript để cung cấp một số chức năng như trình quản lý mật khẩu. Apple yêu cầu tất cả các ứng dụng trình duyệt iOS của bên thứ ba phải sử dụng công cụ Safari WebKit.
Lưu ý quan trọng: InAppBrowser không thể phát hiện tất cả các lệnh JavaScript được thực thi, do đó có thể có sai sót xảy ra.
Ứng dụng iOS có Trình duyệt trong ứng dụng riêng
- Tùy chọn để mở trong trình duyệt mặc định: Ứng dụng có cung cấp tính năng để mở liên kết hiện được hiển thị trong trình duyệt mặc định không?
- Sửa đổi trang: Ứng dụng có đưa mã JavaScript vào các trang web của bên thứ ba để sửa đổi nội dung của nó không? Bao gồm việc thêm mã theo dõi (như đầu vào, lựa chọn văn bản, click, v.v.), đưa vào các tệp JavaScript bên ngoài, cũng như tạo các phần tử HTML mới.
- Tìm nạp metadata: Ứng dụng có chạy mã JavaScript để tìm nạp metadata trang web không? Việc này không gây ra bất kỳ rủi ro bảo mật hoặc quyền riêng tư thực sự nào.
- JS: Một liên kết đến mã JavaScript, có thể có mã khác được thực thi.
Ứng dụng | Tùy chọn để mở trong trình duyệt mặc định | Sửa đổi trang | Tìm nạp Metada | JS | Ngày cập nhật |
TikTok | Có | Có | .js | 2022-08-18 | |
Có | Có | .js | 2022-08-18 | ||
FB Messenger | Có | Có | .js | 2022-08-18 | |
Có | Có | .js | 2022-08-18 | ||
Amazon | Không có | Có | .js | 2022-08-18 | |
Snapchat | Không có | Không có | 2022-08-18 | ||
Người hùng Robin Hood | Không có | Không có | 2022-08-18 |
Bạn có thể click vào từng Có/Không có để xem kết quả InAppBrowser phân tích từ trình duyệt của các ứng dụng trên.