inappbrowser.com entlarvt Schnüffler
Online-Tool zeigt: Diese In-App-Browser überwachen euch
Anfang der Woche haben wir auf eine erstaunlich weit verbreitete Unsitte aufmerksam gemacht, die bis dahin wohl nur die wenigsten iPhone-Anwender auf dem Radar hatten: Wer sich innerhalb von In-App-Browsern durchs Netz bewegt, also etwa in der Web-Ansicht die sich öffnet wenn man einem Link in Instagram folgt, hat keine Möglichkeit sich gegen das Mitlesen der Browser-Sitzung durch den Anbieter der App zu schützen und ist dessen Wissensdurst vollständig hilflos ausgesetzt.
- Schnüffelnde In-App-Browser: Meta manipuliert (alle) Webseiten
So ist es den im App Store erhältlichen Anwendungen grundsätzlich möglich das integrierte Browser-Fenster dauerhaft zu überwachen und damit auch nachzuvollziehen, welche Webseiten angesteuert, wie lang auf diesen verweilt und welche Inhalte in vielleicht vorhandene Online-Formulare eingegeben wurden.
Gebrauch von der Browser-Überwachung machen vor allem soziale Netzwerke wie Facebook, Instagram und TikTok, die euch auch deshalb so ungern aus ihren Anwendungen zum System-Browser weiterleiten, da nur im eigenen In-App-Browser umfangreiche Profile angelegt werden können.
Aufgespürt wurde die Schwachstelle durch den Sicherheitsforscher Felix Krause, der Apple daraufhin aufforderte, systemweite Vorkehrungen zu treffen, um dem Datenhunger der großen soziale Netzwerke nicht hilflos ausgeliefert zu sein.
inappbrowser.com entlarvt Schnüffler
Jetzt hat Krause ein Online-Tool veröffentlicht, mit dem sich die In-App-Browser beliebiger Drittanbieter-Anwendungen auf ihren DatenHunger hin abklopfen lassen.
Schafft ihr es, die Webseite inappbrowser.com im Browser eine Drittanbieter-App zu laden, etwa weil ihr diese kommentiert oder als Nachricht an Freunde versendet, wird euch direkt angezeigt, ob die Anwendung eigenen JavaScript-Code injiziert und euer Surfverhalten so überwacht beziehungsweise die angesteuerten Seiten (nach Belieben) verändert. Werden JavaScript-Inhalte ausfindig gemacht, zeigt inappbrowser.com diese direkt an.