iOS 프라이버시: 인앱브라우저에 어떤 JavaScript가 주입되는지 볼 수 있는 InAppBrowser.com 발표

지난 주에 Facebook/Instagram이 pcm.js라는 파일을 인앱브라우저에 주입해서 사용자가 인앱브라우저에서 하는 행동을 모두 모니터링한다는 보고를 했다.

이를 탐지할 수 있는 InAppBrowser.com를 공개함.

• 앱에 해당 URL을 공유하고 인앱브라우저에서 열어보면
• 인앱브라우저에 JavaScript가 주입되었는지를 볼 수 있다.
• 노랜색으로 나오면 주입된 JavaScript가 탐지 되지 않은 것이다.(인앱브라우저에서 보지 않고 그냥 열어보면 노란색으로 나온다)
• 빨간색으로 나오면 무언가 주입된 것이다.
• 어떤 행동을 모니터링할 수 있고 어떤 코드가 주입되는지까지 정리해서 보여준다.

코드 주입과 관련해서

• iOS 14.3에서 WKContentWorld이 도입되어 JavaScript 코드 실행을 지원했는데 이를 통해서 코드 주입을 함
• Apple에서는 이를 막기 위해 SFSafariViewController도 제공하고 있으므로 SFSafariViewController를 쓴다면 코드를 주입할 수 없다.
• Twitter, Reddit, YouTube, Telegram, Slack, WhatsApp 등 유명 앱의 현황을 계속 업데이트하고 있음

사용자는 인앱브라우저 외에 "Open in browser"를 눌러서 OS의 기본 브라우저로 웹을 볼 것을 권장.