Comment savoir si une application iOS injecte du javascript dans les sites que vous visitez ?

Spread the love

Si vous avez déjà utilisé une application mobile dans votre vie, vous connaissez forcement le concept de navigateur in app. En gros, il s’agit d’une fonctionnalité présente dans certaines applications, qui permet d’ouvrir une page web sans avoir à quitter l’application. C’est présent dans des applications comme Instagram, Facebook ou encore Snapchat.

Mais le truc que vous ne savez pas, c’est qu’en passant par ces navigateurs in app sous iOS, vous êtes potentiellement espionné. Par exemple, lorsque vous passez par le navigateur intégré à TikTok, ce dernier enregistre tout ce que vous tapez au clavier (mots de passe inclus) et partout là où vous tapotez avec votre doigt sur l’écran

Alors ça ne veut pas dire que les sociétés en question volent des mots de passe mais ça veut tout simplement dire qu’elles en ont la possibilité.

Alors comment peut-on savoir si une application injecte du javascript dans les pages que vous consultez via leur navigateur in app ?

Et bien Felix Krause a mis au point un service nommé InAppBrowser qui permet de lister les commandes javascript executées par l’application iOS elle-même. Pour l’utiliser, entrez ce lien dans l’application (par exemple dans la messagerie).

https://InAppBrowser.com

Puis cliquez dessus pour l’ouvrir dans le navigateur in app. Vous verrez alors les injections de javascript.

Voici une démo :

Alors que faire ? Et bien en tant qu’utilisateur, le mieux c’est d’éviter si c’est possible d’utiliser un navigateur inapp et de toujours passer par le navigateur de l’iPhone, Safari.

Voici quelques applications qui modifient les pages que vous visitez et qui récupère de la métadonnées.

D’ailleurs certaines applications utilisent Safari comme navigateur par défaut.

C’est le cas de Twitter, Reddit, Whatsapp, Youtube, Outlook, Twitch…etc. C’est une implémentation saine puisque Apple empêche l’injection de JS par une application tierces dans le code des sites web. Vous pouvez donc avoir confiance dans ces applications :

Si le sujet vous intéresse, Voir la source

Catégories :

Aucune réponse

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.