inappbrowser.com entlarvt Schnüffler
Online-Tool zeigt: Diese In-App-Browser überwachen euch
Anfang der Woche haben wir auf eine erstaunlich weit verbreitete Unsitte aufmerksam gemacht, die bis dahin wohl nur die wenigsten iPhone-Anwender auf dem Radar hatten: Wer sich innerhalb von In-App-Browsern durchs Netz bewegt, also etwa in der Web-Ansicht die sich öffnet wenn man einem Link in Instagram folgt, hat keine Möglichkeit sich gegen das Mitlesen der Browser-Sitzung durch den Anbieter der App zu schützen und ist dessen Wissensdurst vollständig hilflos ausgesetzt.
- Schnüffelnde In-App-Browser: Meta manipuliert (alle) Webseiten
So ist es den im App Store erhältlichen Anwendungen grundsätzlich möglich das integrierte Browser-Fenster dauerhaft zu überwachen und damit auch nachzuvollziehen, welche Webseiten angesteuert, wie lang auf diesen verweilt und welche Inhalte in vielleicht vorhandene Online-Formulare eingegeben wurden.
Gebrauch von der Browser-Überwachung machen vor allem soziale Netzwerke wie Facebook, Instagram und TikTok, die euch auch deshalb so ungern aus ihren Anwendungen zum System-Browser weiterleiten, da nur im eigenen In-App-Browser umfangreiche Profile angelegt werden können.
Aufgespürt wurde die Schwachstelle durch den Sicherheitsforscher Felix Krause, der Apple daraufhin aufforderte, systemweite Vorkehrungen zu treffen, um dem Datenhunger der großen soziale Netzwerke nicht hilflos ausgeliefert zu sein.
inappbrowser.com entlarvt Schnüffler
Jetzt hat Krause ein Online-Tool veröffentlicht, mit dem sich die In-App-Browser beliebiger Drittanbieter-Anwendungen auf ihren DatenHunger hin abklopfen lassen.
Schafft ihr es, die Webseite inappbrowser.com im Browser eine Drittanbieter-App zu laden, etwa weil ihr diese kommentiert oder als Nachricht an Freunde versendet, wird euch direkt angezeigt, ob die Anwendung eigenen JavaScript-Code injiziert und euer Surfverhalten so überwacht beziehungsweise die angesteuerten Seiten (nach Belieben) verändert. Werden JavaScript-Inhalte ausfindig gemacht, zeigt inappbrowser.com diese direkt an.
Das klingt nicht nach einer „Schwschstelle“. Immerhin hat Safari den Trackingschutz. Und die In-App Browser sind im Prinzip kein richtiges Safari. Es ist bei Cashback-Diensten wie Shoop auch sogar gewüscht das die Transaktion gut getrackt wird. Ich finde so wie es Apple umgesetzt hat, ist es perfekt.
Sogar in 1Password. Gerade getestet
Nur bis Version 7.
Die aktuelle Version 8 und zukünftige Versionen verwenden keinen inapp Browser mehr.
Mehr dazu und warum siehe ag_kevin Anwort:
https://1password.community/discussion/128801/1password-8-in-app-browser-no-in-app-browser-planned-for-v8
Danke, Rome!
Mein 1Password öffnet immer in Safari?
Kannst du bei 1PW 7 einstellen (in App oder in Safari öffnen)
Bitte nochmals für Dumme: Wie kann ich in dem In-App Browser diese URL öffnen? Dort wird mir keine Eingabezeile für eine URL angeboten.
Bei vielen schon. Aber schaue doch, dass du irgendwie auf google kommst was meist immer irgendwie geht und dann kommst auch zu inappbrowser.
innerhalb der App wird ein Link über den InApp Browser geöffnet.
Du musst also den Test Link irgendwie in die App bekommen.
ZB bei Messengern in dem du jemandem eine Nachricht mit der URL schickst.
Bei einem Passwort Tresor in dem du einen Eintrag mit der URL anlegst.
Danke, verstehe. Ich habe es mit UniFi Network versucht, aber dort gibt es keine Möglichkeit, von der voreingestellten URL unifi.ui.com wegzukommen.
Grundsätzlich springe ich fast immer als erste Aktion aus dem In-App Browser raus in Safari oder DuckDuckGo.
Ich auch
+ Twitter
Und Reddit?
Kann man den In-App-Browser in der iFun App eigentlich ausschalten und direkt in den Browser geleitet werden?
Hab ich mich auch gerade gefragt.
Ifun.de weißt leider nicht darauf oder gibt die Möglichkeit das bei ihrem eigenen inapp Browser zu testen.
Oh sorry nehme alles zurück.
Habe den link auch einfach mal geklickt und geht.
Asche auf mein Haupt
Nein, so direkt geht das nicht. Das müsste vom Entwickler der App dann als Option angeboten werden.
Bzw. wurde die Nutzung des In-App-Browsers ja aktiviert. Im Standard werden Links im Browser geöffnet.
Wenn es aber ein Safari-In-App Browser ist, ist das aber auch gar kein Problem.
Soziale Netze sind fast ausschließlich Gift für den Mensch.
Manche kann man zielgerichtet Nutzen um einen Mehrwert und zumindest wenig Nachteile zu haben.
Aber wenn man sich gedankenlos dem Algorithmus hingibt ist man schnell verloren.
Kann nur empfehlen so viel wie möglich im Browser zu nutzen.
Facebook, TikTok, Twitter funktionieren tadellos.
Bei manchen Apps kann man auch einstellen das der System Browser genutzt werden soll.
Eher (A)Solzialenetze
Facebook und TikTok sind auch im Browser Gift für den MenschEN.
Eure App ist sauber :D
Hilft da nicht die Erweiterung „StopTheScript“?
Nein, da diese Erweiterung nur in Safari direkt, nicht aber in den In-App Browsern funktioniert.
Möchte ich auch wissen, habe die App gerade deswegen gekauft.
Nein, das fordert ja der Felix, das solche Erweiterungen Systemweit funktionieren, also auch in InApp-Browsern. In Safari selbst ja.
Tun sie doch, mein Add-Blocker funktioniert definitiv auch In-App
Ad-Blocker arbeiten häufig mit einem internen Proxy (wird dann wie durch ein VPN aber lokal drüber geleitet), diese funktionieren dann auch in anderen Apps. Reguläre Erweiterungen funktionieren jedoch nur in Safari selbst.
Ist bei mir nicht der Fall. Kein Schein VPN und 1Blocker läuft dennoch.
Doch, @“Jens“! Du hast ganz sicher auch diese sogenannte „Firewall“ in 1blocker aktiviert. Komischerweise wird oben in der Statusleiste nicht VPN angezeigt, aber in Einstellungen unter VPN wird angezeigt, dass es mit dem lokalen VPN verbunden ist. Sonst würde das Blockieren von Trackern & Werbung in InApp-Browsern nicht funktionieren, weil sie leider nicht die Safari-Extensions nutzen dürfen (fand ich früher blöd, weil ich den mobilen Firefox nutze, aber mit dem lokalen VPN macht dies momentan nichts aus). Ärgerlich ist, wenn man sich mit z.B. Uni VPN verbindet, weil dann der lokale 1blocker automatisch deaktiviert wird und dann in Firefox kein Tracker und keine Werbung mehr blockiert wird.
Falls du doch nicht diese „Firewall“ aktiviert hast, dann hast du in deinem Netzwerk ein Pihole, Vergleichbares oder grob Ähnliches.
Man kann doch in den Einstellungen des iPhones, unter Safari beim Punkt Erweitert, JavaScript ausschalten. Das ist doch auch für die In-App Version von Safari gültig. Gekaufte Erweiterungen für Safari, funktionieren ja auch in der In-App Version von Safari.
Aber setzen denn die inapp Browser von Meta apps auf safari?
Ich gehe immer sofort raus aus dem InApp-Browser und öffne den Link in Safari. Nützt das denn etwas?
Ja. Dann bist du in deinem Browser. Eine App kann als quasi Plugin auch den in App Browser mitbringen, um Seiten innerhalb der App anzuzeigen. Das macht Sinn, damit der Benutzer nicht „aus der App geworfen“ wird. Es verbessert also die User Experience. Viele liefern mit der App auch NUR den Browser und rufen damit nur ihre Website auf. Das spart Entwicklungskosten und ist einfach umzusetzen. Auch eine gute Sache. Aber wenn man den in App Browser manipuliert, und das kann man im Quellcode der App, dann kann man damit vieles machen, was der User nicht sieht und was man auf dem Browser ausserhalb der App nicht könnte.
Irgendwie verstehe ich die Aufregung um das Thema nicht? Wo ist der Unterschied zu den normalen Cookies? Wo ist der generelle Nachteil für den Endnutzer dabei?
Javascript Injection und Cookies sind zwei verschiedene Dinge. Die Cookies dienen dazu, dich über Webseiten hinweg zu identifizieren. Die Javascript Injection, also das Einbetten von Programmlogik in fremde Webseiten ermöglicht den Apps, der Webseite beliebige Funktionen nachzurüsten. Dazu gehört unter anderem auch, dass sie der Webseite beibringen können, dass sie jedes eingegebene Zeichen, jeden Klick, etc. mitprotokollieren und entweder an eine Webseite oder an die App übermitteln.
Die Javascript Injection ist damit deutlich mächtiger und für den Endnutzer gefährlicher. Es gibt natürlich auch hier Szenarien, in dem diese Funktionen benötigt werden. Aber in den hier genannten Szenarien ist dies nicht der Fall.
Dass es mächtiger ist keine Frage, wie viel mächtiger es in der Anwendung hier der Fall ist wäre aber interessant. Dass damit Schindluder getrieben werden kann ist richtig und sollte in freier Wildbahn entsprechend berücksichtigt werden (gerade mit Blick auf phishing und co), meta, Google und der Rest werden aber wohl weniger alle Eingaben hier protokollieren (Passwörter und Kreditkarten mal als Fokus genommen) noch die Bankverbindung der Website abändern um deren Gewinne abzugreifen. Sondern auch hier eher schauen wie das nutzererlebnis aussieht.
Das Wort „Nutzererlebnis“ verwenden die Plattformen ja immer sehr gerne ohne im Detail darauf einzugehen. Nachdem du es ja auch so siehst, kannst du mir erläutern, was du mit Nutzererlebnis meinst?
Ich fasse nochmal die Situation zusammen: Ich klicke in einer dieser Apps auf einen Link, der zu irgendeiner Adresse zeigt. Diese Adresse hat mit der App und der Plattform nichts mehr zu tun hat. Um rauszufinden, ob die Webseite lädt, braucht die App kein Javascript Injection, das kann sie auch so bereits mitbekommen. Die Seite lädt also ganz normal, du bist nun auf einer Webseite die nichts mehr mit der App/Plattform zu tun hat. Diese wird nun mit Code versehen, um etwas zu analysieren.
Welches Nutzererlebnis möchte die App nun in dieser Situation analysieren?
Mir fallen da beim besten Willen nur Datensammeln ein, und das hat nichts mit Nutzererlebnis zu tun.
Klar hört das nutzererlebnis für die App beim link auf. Dafür fängt das nutzererlebnis dann auf der Website an. Hat es für dich einen Nachteil dass du hier nicht nur vom websitebetreiber überwacht wirst? Wahrscheinlich nicht (zumindest geht es mir so). Dafür gibst du Google und Facebook jedoch Daten die eben auch für die Weiterentwicklung von UIs genutzt werden können. Auch wenn man es gerne ignoriert, die beiden sind auch stark in der Entwicklung von Programmiersprachen und Design unterwegs, hier hilfst du also auch die Anforderungen an diese genauer zu fassen (Beispiel: früher musste man erst mal entwickeln und große Umfragen erstellen um zu sehen was sinnvoller ist, Button links, Button rechts, grün oder blau?, wird eine Website eher weg geklickt wenn große Werbung verbaut ist oder kleine, etc. das sind Dinge die man nun über eine einfache datenauswertung gut abbilden kann). Dass die gewonnenen Erkenntnisse wahrscheinlich auch im Consulting für websitenbetreiber genutzt werden um hier zusätzliche Erträge zu generieren ist auch okay. Das Beispiel oben könnte man mit entsprechendem Code sogar noch an der selben Website austesten. Da dass aber wohl rechtliche Konsequenzen hat wird man das eher als kurze Peer Review auf den Seiten der App Betreiber selbst finden. Deshalb: kurzfristig wirst du und ich dadurch keine Verbesserungen oder Verschlimmerungen feststellen, dafür aber auf lange Sicht Änderungen die einem den Alltag (auch wenn’s nicht viel ist) hoffentlich erleichtern.
++++1 perfekt beschreiben!!
Die Frage kannst du die selbst beantworten, indem du die Seite noch einmal aber ganz langsam liest und lange überlegst, was dort steht. Nur für dich: Durch InApp-Browser kann der App-Hersteller z.B. auch die eingegebenen Passwörter in Klartext ausspionieren.
(Verschwörerisch gedacht, klar, könnte Apple auch direkt im mobilen Safari ausspionieren, aber da vertraut man, dass sie dies nicht tun, wie man auch Microsoft vertraut, dass sie in Windows die Passwörter auch nicht ausspionieren. Sonst gäbe es bestimmt einen großen Eklat und dann wäre die Zeit für Linux Distributionen endlich angebrochen.)
Super wichtiges Thema!
In China sind die üblichen Netzwerke gesperrt und Familienmitglieder dort sind gezwungen z.B. WeChat zu benutzen.
Bei meiner Überprüfüng von WeChat mit InApp.com kommt dann:
„JavaScript injection detected, with some potentially dangerous commands.“
Gefolgt von einer Seite Code, die diese Kommentarseite wohl sprengen würde.
Könnte ein JavaScript- Versteher mit WeChat-Account nicht mal den Test machen und das Ergebnis hier bekannt geben?
Vielen Dank!
Es wird Zeit, dass auch die In App Browser der Apps Safari Add Ons unterstützen. Dann hätten wir das Problem nicht!
Das ist bereits der Fall.
Probleme anderer Leute- was nicht genutzt wird, kann auch nicht spionieren
Habe ich es richtig verstanden , wenn ich über Safari zb Facebook öffne, bin ich „sicherer“?
Ja.
wenn man nicht will das man ausspioniert wird, sollte man auf facebook und co verzichten.
es ist doch bekannt das die jeden und alles tracken
Richtig so, den Dreck braucht kein Mensch. Seit so was da ist denkt jeder er hat Ahnung.
Unsinn. Das war vorher auch schon da.
Man „hört“ nun einfach mehr Fall viele ins Internet schreien anstatt nur in ihren kleinen Haus auf dem Land.
Ich nutze die App „Friendly“ (Kaufversion) um in FB und IG mitzulesen. Die zeigt mir beim öffnen der inappbrowser.com Seite auch einige Java Script Commands an. Aber ein
„HTMLDocument.removeEventListener“
hört sich für mich erstmal so an, als würde genau das versucht zu verhindern, was ja Sinn und Zweck der App ist. :-)
Kann für die sozialen Netze die App „Friendly“ empfehlen.
Wie schaut’s denn mit Eurem InApp-Browser aus?
Löscht FB und Co. …. damit ist das Problem gelöst. Wer sicher sein will, verabschiedet sich vom Handy und hängt sich NIE WIEDER ans NETZ!!
Bravo, nur so hat man wirklich Sicherheit. Aber wer sich auf facebook & co eh selbst völlig entblößt bis auf die nackte Haut und der ganzen Welt das kleinste Detail von sich selbst mitteilt, dem ist sein ganz persönlicher Exibitionismus soviel wert, dass er Sicherheitslücken ja offenbar in Kauf nimmt und ihm seine Selbstdarstellung wichtiger ist! Also weg von FB und Co und ein altes Tastenhandy und schon gibts keine Sicherheitlücken!