Privacidad en iOS: anuncian InAppBrowser.com para ver qué JavaScript se inyecta en los navegadores integrados en apps

La semana pasada se publicó un reporte de que Facebook/Instagram inyecta un archivo llamado pcm.js en su navegador integrado en la app para monitorear todo lo que hace el usuario dentro de ese navegador.

Ahora se publicó InAppBrowser.com, que permite detectar esto.

• Si compartes esa URL con una app y la abres en su navegador integrado
• puedes ver si se inyectó JavaScript en el navegador integrado.
• Si aparece en amarillo, no se detectó JavaScript inyectado. (Si no lo ves en un navegador integrado y solo lo abres normalmente, aparecerá en amarillo)
• Si aparece en rojo, significa que se inyectó algo.
• Incluso muestra de forma organizada qué acciones se pueden monitorear y qué código se está inyectando.

Sobre la inyección de código:

• En iOS 14.3 se introdujo WKContentWorld, que permitió la ejecución de código JavaScript, y a través de eso se realiza la inyección de código.
• Apple también ofrece SFSafariViewController para impedir esto, por lo que si se usa SFSafariViewController, no es posible inyectar código.
• Se sigue actualizando el estado de apps populares como Twitter, Reddit, YouTube, Telegram, Slack y WhatsApp.

Se recomienda que, en lugar de usar el navegador integrado en la app, el usuario pulse "Open in browser" para ver la web en el navegador predeterminado del sistema.