15P by outsideris 3달전 | favorite | 댓글 2개

지난 주에 Facebook/Instagram이 pcm.js라는 파일을 인앱브라우저에 주입해서 사용자가 인앱브라우저에서 하는 행동을 모두 모니터링한다는 보고를 했다.

이를 탐지할 수 있는 InAppBrowser.com를 공개함.

  • 앱에 해당 URL을 공유하고 인앱브라우저에서 열어보면
  • 인앱브라우저에 JavaScript가 주입되었는지를 볼 수 있다.
  • 노랜색으로 나오면 주입된 JavaScript가 탐지 되지 않은 것이다.(인앱브라우저에서 보지 않고 그냥 열어보면 노란색으로 나온다)
  • 빨간색으로 나오면 무언가 주입된 것이다.
  • 어떤 행동을 모니터링할 수 있고 어떤 코드가 주입되는지까지 정리해서 보여준다.

코드 주입과 관련해서

  • iOS 14.3에서 WKContentWorld이 도입되어 JavaScript 코드 실행을 지원했는데 이를 통해서 코드 주입을 함
  • Apple에서는 이를 막기 위해 SFSafariViewController도 제공하고 있으므로 SFSafariViewController를 쓴다면 코드를 주입할 수 없다.
  • Twitter, Reddit, YouTube, Telegram, Slack, WhatsApp 등 유명 앱의 현황을 계속 업데이트하고 있음

사용자는 인앱브라우저 외에 "Open in browser"를 눌러서 OS의 기본 브라우저로 웹을 볼 것을 권장.

인스타그램/페북은 인앱브라우저에서 하는 모든 일을 추적가능합니다
요 글의 후속 글이네요. 꽤 이슈가 되어서 아예 사이트로 만들어서 공개한거군요. 공유 감사합니다!

카톡이랑 네이버 인앱 브라우저에선 뭐 뜨는게 없군요. 의외로 pc 브라우저에서 뭔가 뜨던..(범인은 브라우저 확장)