ความเป็นส่วนตัวบน iOS: เปิดตัว InAppBrowser.com ที่ช่วยให้ดูได้ว่ามีการฉีด JavaScript อะไรเข้าไปในอินแอปเบราว์เซอร์บ้าง
(krausefx.com)เมื่อสัปดาห์ที่แล้วมีรายงานว่า Facebook/Instagram ฉีดไฟล์ชื่อ pcm.js เข้าไปในอินแอปเบราว์เซอร์เพื่อเฝ้าติดตามทุกพฤติกรรมที่ผู้ใช้ทำภายในอินแอปเบราว์เซอร์
จึงได้เปิดเผย InAppBrowser.com ที่สามารถใช้ตรวจจับสิ่งนี้ได้
- แชร์ URL ดังกล่าวไปยังแอป แล้วเปิดในอินแอปเบราว์เซอร์
- สามารถดูได้ว่ามีการฉีด JavaScript เข้าไปในอินแอปเบราว์เซอร์หรือไม่
- หากแสดงเป็นสีเหลือง แปลว่าไม่พบ JavaScript ที่ถูกฉีดเข้าไป (ถ้าไม่ได้ดูผ่านอินแอปเบราว์เซอร์แต่เปิดตามปกติ ก็จะแสดงเป็นสีเหลือง)
- หากแสดงเป็นสีแดง แปลว่ามีบางอย่างถูกฉีดเข้าไป
- ยังสรุปให้ดูได้ด้วยว่าสามารถติดตามพฤติกรรมอะไรได้บ้าง และมีการฉีดโค้ดอะไรเข้าไป
เกี่ยวกับการฉีดโค้ด
- ใน iOS 14.3 มีการเพิ่ม WKContentWorld เข้ามาและรองรับการรันโค้ด JavaScript ซึ่งถูกใช้เป็นช่องทางในการฉีดโค้ด
- Apple ก็มี SFSafariViewController เพื่อป้องกันเรื่องนี้อยู่แล้ว ดังนั้นถ้าใช้ SFSafariViewController ก็จะไม่สามารถฉีดโค้ดได้
- มีการอัปเดตสถานะของแอปยอดนิยมอย่างต่อเนื่อง เช่น Twitter, Reddit, YouTube, Telegram, Slack, WhatsApp
ผู้ใช้จึงควรกด "Open in browser" แทนการใช้อินแอปเบราว์เซอร์ เพื่อเปิดเว็บด้วยเบราว์เซอร์เริ่มต้นของระบบปฏิบัติการ
2 ความคิดเห็น
ดูเหมือนว่าในอินแอปเบราว์เซอร์ของ KakaoTalk กับ Naver จะไม่มีอะไรแสดงขึ้นมาเลยนะครับ น่าแปลกที่กลับมีอะไรบางอย่างโผล่ขึ้นมาในเบราว์เซอร์บนพีซีแทน.. (ตัวการคือส่วนขยายเบราว์เซอร์)
Instagram/Facebook สามารถติดตามทุกอย่างที่คุณทำในอินแอปเบราว์เซอร์ได้
น่าจะเป็นบทความต่อจากโพสต์นี้ครับ/ค่ะ ประเด็นนี้ค่อนข้างเป็นที่พูดถึงมากจนถึงขั้นทำเป็นเว็บไซต์แล้วเผยแพร่ออกมาเลย ขอบคุณที่แชร์ครับ/ค่ะ!