Aller au contenu
Korben, roi d’internet, logo bébé avec des lunettes en mode thug life

Comment savoir si une application iOS injecte du javascript dans les sites que vous visitez ?

@  — 

Si vous avez déjà utilisé une application mobile dans votre vie, vous connaissez forcement le concept de navigateur in app. En gros, il s’agit d’une fonctionnalité présente dans certaines applications, qui permet d’ouvrir une page web sans avoir à quitter l’application. C’est présent dans des applications comme Instagram, Facebook ou encore Snapchat.

Mais le truc que vous ne savez pas, c’est qu’en passant par ces navigateurs in app sous iOS, vous êtes potentiellement espionné. Par exemple, lorsque vous passez par le navigateur intégré à TikTok, ce dernier enregistre tout ce que vous tapez au clavier (mots de passe inclus) et partout là où vous tapotez avec votre doigt sur l’écran

Alors ça ne veut pas dire que les sociétés en question volent des mots de passe mais ça veut tout simplement dire qu’elles en ont la possibilité.

Alors comment peut-on savoir si une application injecte du javascript dans les pages que vous consultez via leur navigateur in app ?

Et bien Felix Krause a mis au point un service nommé InAppBrowser qui permet de lister les commandes javascript executées par l’application iOS elle-même. Pour l’utiliser, entrez ce lien dans l’application (par exemple dans la messagerie).

https://InAppBrowser.com

Puis cliquez dessus pour l’ouvrir dans le navigateur in app. Vous verrez alors les injections de javascript.

Voici une démo :

Alors que faire ? Et bien en tant qu’utilisateur, le mieux c’est d’éviter si c’est possible d’utiliser un navigateur inapp et de toujours passer par le navigateur de l’iPhone, Safari.

Voici quelques applications qui modifient les pages que vous visitez et qui récupère de la métadonnées.

Capture d'écran de l'application iOS injectant du JavaScript sur un site web

D’ailleurs certaines applications utilisent Safari comme navigateur par défaut.

C’est le cas de Twitter, Reddit, Whatsapp, Youtube, Outlook, Twitch…etc. C’est une implémentation saine puisque Apple empêche l’injection de JS par une application tierces dans le code des sites web. Vous pouvez donc avoir confiance dans ces applications :

Image illustrant la présence de code JavaScript dans une page web

Si le sujet vous intéresse, je vous invite à visiter cette page qui répondra à toutes vos interrogations sur cette pratique cachée des éditeurs d’applications.

Que faire après le bac quand on est passionné de cybersécurité ?

Entièrement dédiée à la cybersécurité, l’école Guardia est accessible soit directement après le bac (post-bac), soit après un bac+2 ou bac+3. En rejoignant l’école Guardia, vous deviendrez développeur informatique option cybersécurité (Bac+3) ou expert en cybersécurité (Bac+5).

Cliquez ici pour en savoir plus

Partenaire

Les articles du moment