La semaine dernière, un rapport a indiqué que Facebook/Instagram injecte un fichier appelé pcm.js dans son navigateur intégré à l’app afin de surveiller toutes les actions des utilisateurs dans ce navigateur intégré.
InAppBrowser.com a été lancé pour permettre de détecter cela.
- partagez l’URL avec l’app concernée et ouvrez-la dans son navigateur intégré
- vous pouvez alors voir si du JavaScript a été injecté dans le navigateur intégré à l’app
- si la page apparaît en jaune, aucun JavaScript injecté n’a été détecté (si vous l’ouvrez normalement, sans passer par un navigateur intégré, elle apparaît en jaune)
- si la page apparaît en rouge, cela signifie que quelque chose a été injecté
- le site détaille aussi quelles actions peuvent être surveillées et jusqu’au code injecté
À propos de l’injection de code :
- WKContentWorld a été introduit dans iOS 14.3 pour permettre l’exécution de code JavaScript, et c’est via ce mécanisme que l’injection est réalisée
- Apple fournit aussi SFSafariViewController pour empêcher cela ; si une app utilise SFSafariViewController, elle ne peut pas injecter de code
- l’état des lieux d’apps populaires comme Twitter, Reddit, YouTube, Telegram, Slack et WhatsApp est mis à jour en continu
Il est recommandé aux utilisateurs, plutôt que d’utiliser un navigateur intégré à une app, d’appuyer sur « Open in browser » pour afficher le web dans le navigateur par défaut du système.
2 commentaires
Sur les navigateurs intégrés de KakaoTalk et Naver, rien ne s’affiche. Étonnamment, quelque chose apparaissait sur le navigateur PC… (le coupable : une extension du navigateur)
Instagram/Facebook peuvent suivre tout ce que vous faites dans leur navigateur intégré
C’est donc un article de suivi de ce billet. Le sujet a fait suffisamment de bruit pour qu’ils en fassent carrément un site et le publient ainsi. Merci pour le partage !