先週、Facebook/Instagram が pcm.js というファイルをインアプリブラウザに注入し、ユーザーがインアプリブラウザ内で行うすべての行動を監視しているという報告があった。
これを検出できる InAppBrowser.com が公開された。
- アプリにこの URL を共有してインアプリブラウザで開くと
- インアプリブラウザに JavaScript が注入されているか確認できる。
- 黄色で表示される場合は、注入された JavaScript が検出されなかったことを意味する。(インアプリブラウザではなく通常どおり開くと黄色で表示される)
- 赤色で表示される場合は、何らかのコードが注入されている。
- どのような動作を監視できるか、どんなコードが注入されているかまで整理して表示してくれる。
コード注入に関連して
- iOS 14.3 で WKContentWorld が導入され、JavaScript コードの実行がサポートされたことで、これを通じてコード注入が行われる
- Apple はこれを防ぐために SFSafariViewController も提供しており、SFSafariViewController を使えばコードを注入できない。
- Twitter、Reddit、YouTube、Telegram、Slack、WhatsApp など有名アプリの状況を継続的に更新している
ユーザーには、インアプリブラウザではなく "Open in browser" を押して OS のデフォルトブラウザで Web を見ることが推奨される。
2件のコメント
カカオトークとNAVERのアプリ内ブラウザでは何も表示されないですね。意外にもPCブラウザでは何か出ていましたが……(犯人はブラウザ拡張機能)
Instagram/Facebookはインアプリブラウザで行うあらゆることを追跡できます
この記事の続編ですね。かなり話題になったので、サイトとして作って公開したんですね。共有ありがとうございます!