新工具可以幫助檢測哪些應用內瀏覽器試圖跟蹤您

本月早些時候，安全研究員和前谷歌員工FelixKrause發布了一份報告，詳細介紹了Instagram、Facebook和其他應用程序如何使用應用程序內瀏覽器來跟蹤人們的在線行為。現在，克勞斯帶著一個工具回來了，它可以幫助向用戶展示這種跟蹤的范圍。

如果您錯過了克勞斯的原始報告，這里有一個快速解釋。許多應用程序都具有內置的網絡瀏覽器，可以打開用戶在應用程序中單擊的鏈接。Krause在報告中強調了來自Meta的應用程序，例如Facebook和Instagram，但許多其他應用程序也這樣做。(Tiktok是更令人震驚的一種——Krause聲稱TikTok可以監控其自定義瀏覽器中的所有鍵盤輸入和點擊，但該公司告訴《福布斯》它只使用有問題的JavaScript進行調試。)

值得注意的是，并非所有應用內瀏覽器都不好。有些應用程序使用自定義的應用程序內瀏覽器，而其他應用程序則使用Apple的Safari。Twitter、Reddit、Gmail和其他應用程序依靠Safari或“SFSafariViewController”在應用程序中打開網站。Krause提供了執行此操作的應用程序列表，并指出它們是“安全的”，因為應用程序無法注入代碼。Android提供“自定義選項卡”功能，如果它支持自定義選項卡，它會利用用戶的默認瀏覽器在應用程序內加載網站。目前尚不清楚JavaScript注入是否同樣會影響這一點。

一方面，這對大多數人來說可能并不令人驚訝。如果應用程序跟蹤您在應用程序中所做的事情，為什么應用程序內瀏覽器會發生變化?另一方面，這可以為某些人敲響警鐘，并希望鼓勵采取一些行動來防止這種跟蹤。這可能來自那些控制應用商店的人(例如，Apple可以調整其指導方針以防止此類行為，或者可能擴展其AppTrackingTransparency功能以涵蓋此類行為)。

更有可能的是，用戶將獨自保護自己。最好的方法是避免使用應用內瀏覽器——幸運的是，大多數應用程序都包含一個使用默認瀏覽器的選項，這意味著您單擊的任何鏈接都將在您的實際瀏覽器中打開，而不是應用內選項。

你能做的另一件事是什么?使用Krause的新工具測試哪些應用將JavaScript注入到應用內瀏覽器中。它名為“inappbrowser.com”，是一個用戶可以打開的網站，可以檢測JavaScript注入。當然，也有限制。inappbrowser.com工具無法檢測到所有已執行的JavaScript命令，并且僅僅因為JavaScript存在并不意味著正在發生惡意事件。

不過，運行inappbrowser.com測試可以讓您知道應用程序是否正在注入JavaScript，如果是，則可能意味著它正在跟蹤某些內容。要使用該工具，請使用應用內瀏覽器導航到“inappbrowser.com”。當然，訣竅是到達那里——大多數應用內瀏覽器不允許你輸入URL。相反，您必須單擊要測試的應用程序中的鏈接。例如，您可以發布帶有鏈接的評論并單擊它或向自己發送DM。