Comment savoir si une application iOS injecte du javascript dans les sites que vous visitez ? | Cybersécurité | Le site de Korben

Comment savoir si une application iOS injecte du javascript dans les sites que vous visitez ?

par Korben ✨ -

Si vous avez déjà utilisé une application mobile dans votre vie, vous connaissez forcement le concept de navigateur in app. En gros, il s’agit d’une fonctionnalité présente dans certaines applications, qui permet d’ouvrir une page web sans avoir à quitter l’application. C’est présent dans des applications comme Instagram, Facebook ou encore Snapchat.

Mais le truc que vous ne savez pas, c’est qu’en passant par ces navigateurs in app sous iOS, vous êtes potentiellement espionné. Par exemple, lorsque vous passez par le navigateur intégré à TikTok, ce dernier enregistre tout ce que vous tapez au clavier (mots de passe inclus) et partout là où vous tapotez avec votre doigt sur l’écran

Soutenir Korben

Alors ça ne veut pas dire que les sociétés en question volent des mots de passe mais ça veut tout simplement dire qu’elles en ont la possibilité.

Alors comment peut-on savoir si une application injecte du javascript dans les pages que vous consultez via leur navigateur in app ?

Soutenir Korben

Et bien Felix Krause a mis au point un service nommé InAppBrowser qui permet de lister les commandes javascript executées par l’application iOS elle-même. Pour l’utiliser, entrez ce lien dans l’application (par exemple dans la messagerie).

[https://InAppBrowser.com](https://inappbrowser.com/)

Puis cliquez dessus pour l’ouvrir dans le navigateur in app. Vous verrez alors les injections de javascript.

Soutenir Korben

Voici une démo :

Cette vidéo YouTube nécessite des cookies pour fonctionner.
Cliquez ici pour gérer vos préférences de cookies

Alors que faire ? Et bien en tant qu’utilisateur, le mieux c’est d’éviter si c’est possible d’utiliser un navigateur inapp et de toujours passer par le navigateur de l’iPhone, Safari.

Soutenir Korben

Voici quelques applications qui modifient les pages que vous visitez et qui récupère de la métadonnées.

Soutenir Korben

D’ailleurs certaines applications utilisent Safari comme navigateur par défaut.

C’est le cas de Twitter, Reddit, Whatsapp, Youtube, Outlook, Twitch…etc. C’est une implémentation saine puisque Apple empêche l’injection de JS par une application tierces dans le code des sites web. Vous pouvez donc avoir confiance dans ces applications :

Si le sujet vous intéresse, je vous invite à visiter cette page qui répondra à toutes vos interrogations sur cette pratique cachée des éditeurs d’applications.

Que faire après le bac quand on est passionné de cybersécurité ?
Contenu partenaire
Logo de l'école de Cybersécurité Guardia
Tracking Matomo Guardia

Entièrement dédiée à la cybersécurité, l'école Guardia est accessible soit directement après le bac (post-bac), soit après un bac+2 ou bac+3. En rejoignant l'école Guardia, vous deviendrez développeur informatique option cybersécurité (Bac+3) ou expert en cybersécurité (Bac+5).

Cliquez ici pour en savoir plus