‘InAppBrowser’ adlı yeni bir çevrimiçi araç, mobil uygulamalara yerleştirilmiş uygulama içi tarayıcıların davranışını analiz etmenize ve ziyaret ettiğiniz web sitelerine gizliliği tehdit eden JavaScript’i enjekte edip etmediklerini belirlemenize olanak tanır.
Araç, bu potansiyel olarak riskli davranış konusunda uyarıda bulunan geliştirici Felix Krause tarafından oluşturuldu. ayın başlarındaziyaret ettikleri her web sayfasına JavaScript izleyicileri enjekte ederek, uygulama içi tarayıcıların kullanıcıların çevrimiçi olarak gördükleri ve yaptıkları her şeyi izlemesinin ne kadar kolay olacağını açıklıyor.
Bu enjeksiyonların potansiyeli, göz atma geçmişine erişmeyi, ilgi alanlarını elde etmek için davranış özelliklerini kaydetmeyi, günlük dokunuşlarını ve tuşlara basmayı, ekran görüntüsü eylemlerini izlemeyi ve hatta giriş formlarına girdiğiniz şifreleri yakalamayı içerir.
Açıklamalar, gömülü tarayıcılara sahip popüler uygulama topluluklarını sarstı, bu nedenle kullanıcıların uygulama etkinliklerinin davranışını belirlemelerine yardımcı olmak için Krause, ‘InAppBrowser‘ çevrimiçi araç ve açık kaynaklı kaynak kodu.
InAppBrowser nasıl kullanılır?
Bir uygulamanın potansiyel olarak şüpheli davranış gösterip göstermediğini bulmak için uygulamanın yerleşik tarayıcısı aracılığıyla aracın web sitesini (inappbrowser.com) açın.
Sosyal medya uygulamaları için, https://InAppBrowser.com bağlantısını herkese açık olarak yayınlayın ve uygulama içi tarayıcı ile açmayı deneyin. Messenger uygulamaları için bağlantıyı DM yoluyla kendinize gönderin ve uygulamanın tarayıcısı üzerinden açın.
Bu basit adımlar, uygulamanın tarayıcısı tarafından web sitelerine eklenen JavaScript enjeksiyonları hakkında bir rapor oluşturmak için yeterlidir. Ancak, tespit yapılmadığının raporlarının, kod yerleştirmenin kesin olarak hariç tutulabileceği anlamına gelmediğini netleştirmek önemlidir.
“Bu araç, yürütülen tüm JavaScript komutlarını algılayamıyor ve uygulamanın yerel kodu (özel hareket tanıyıcıları gibi) kullanarak yapabileceği herhangi bir izlemeyi göstermiyor” Krause’u yazısında açıklıyor.
Benzer şekilde, kod yerleştirme raporları, uygulamanın izleme etkinlikleri gerçekleştirdiği anlamına gelmez, yalnızca kötüye kullanım potansiyelinin mevcut olduğu anlamına gelir.
“Bir uygulamanın JavaScript’i harici web sitelerine enjekte etmesi, uygulamanın kötü amaçlı bir şey yaptığı anlamına gelmez.” raporu netleştirir.
“Her bir uygulama içi tarayıcının ne tür veriler topladığı veya verilerin nasıl veya nasıl aktarıldığı veya kullanıldığı konusunda tüm ayrıntıları bilmemizin bir yolu yok.”
BleepingComputer tarafından yapılan diğer testler, aracı masaüstü tarayıcılarındaki uzantılar tarafından oluşturulan riskli kod enjeksiyonlarını bulmak için kullanabileceğinizi de gösterdi.
Aracı, Phantom veya Metamask kripto para cüzdanları gibi yüklü Chrome uzantıları ile test ederken, InAppBrowser sitesi aşağıda gösterildiği gibi gizlilikle ilgili çeşitli kod enjeksiyonları tespit etti.
Yukarıdaki resimdeki kırmızı renkteki son uyarıya MetaMask değil, Phantom uzantısı neden olmuştur.
Ayrıca tarayıcı uzantıları, ziyaret ettiğiniz web sitelerine JavaScript enjekte ederek çalışır, bu nedenle birçok uzantının algılanması olağandışı olmaz. Ancak testlerimiz, birçok uzantının araçla herhangi bir uyarı oluşturmadığını gösterdi.
Araç, tarayıcı uzantılarını analiz etmek için tasarlanmadığından, BleepingComputer bu sonuçların güvenilir olup olmadığını öğrenmek için Krause’a ulaştı.
Bulgular ve anlaşmazlık
Araştırmacı, TikTok, Instagram, Facebook ve Messenger’da riskli davranışlar bulduğunu iddia ederken, Snapchat ve Robinhood testlerde temiz çıktı.
Özellikle TikTok için Krause, klavye girişini ve ekran dokunuşlarını izleyen komut dosyaları buldu. TikTok’un bu yeteneği kötüye kullandığına dair bir belirti olmasa da araştırmacı, şifreler ve kredi kartı girişleri gibi hassas bilgileri toplamanın kötüye kullanılabileceği konusunda uyarıyor.
Bir TikTok sözcüsü, bu komut dosyalarını tuş vuruşlarını veya metin girişlerini toplamak için kullanmadıklarını belirten aşağıdaki ifadeyi Bleeping Computer ile paylaştı.
“Raporun TikTok ile ilgili sonuçları yanlış ve yanıltıcı.
Araştırmacı özellikle JavaScript kodunun uygulamamızın kötü amaçlı bir şey yaptığı anlamına gelmediğini söylüyor ve uygulama içi tarayıcımızın ne tür veriler topladığını bilmelerinin hiçbir yolu olmadığını kabul ediyor.
Raporun iddialarının aksine, yalnızca hata ayıklama, sorun giderme ve performans izleme için kullanılan bu kod aracılığıyla tuş vuruşlarını veya metin girişlerini toplamıyoruz.” – TikTok.
Bu nedenle TikTok, kodun orada olduğunu kabul ediyor, ancak yalnızca kullanıcı deneyimini geliştirmek için kullanıldığının, kullanıcıların gizliliğini izlemek veya ihlal etmek için kullanılmadığının altını çiziyor.
Ayrıca TikTok, Bleeping Computer’a, kullanıcıları web’de gittikleri her yerde izlemediğini, ancak şirketin, etkili reklamcılık çözümleri sağlamak için kullanıcılarının üçüncü taraf uygulamalarda ve web sitelerinde ne yaptıkları hakkında reklamcılardan sınırlı veri alabileceğini söyledi.
Bleeping Computer, bildirilen bulgular hakkında Facebook/Meta’dan da bir yorum istedi, ancak henüz bir yanıt almadık.