Bien que cela ne soit pas toujours utilisé à des fins malveillantes, l’injection Javascript est une menace potentielle pour la sécurité qui, jusqu’à présent, était difficile à vérifier dans les navigateurs intégrés. Heureusement, l’outil nouvellement nommé d’une manière appropriée par le chercheur en sécurité Flix Krause, InAppBrowser, vérifie si le navigateur intégré d’une application utilise des injections Javascript potentiellement dangereuses pour suivre vos données.
Bien qu’InAppBrowser ne fonctionne que dans les applications disposant d’un outil de navigateur web intégré, telles que TikTok, Instagram ou Messenger, vous pouvez également l’utiliser sur votre ordinateur pour vérifier les injections Javascript provenant des extensions de navigateur.
Si vous avez des doutes sur une application ou une extension de navigateur, essayez InAppBrowser pour voir si elle se comporte étrangement. Voici comment :
- Sur mobile [iOS/Android] : Ouvrez l’application que vous souhaitez tester et chargez inappbrowser.com dans le navigateur intégré de l’application. Un moyen facile de le faire est de vous envoyer le lien dans un message, un commentaire ou un post. Alternativement, ouvrez un lien vers un site web dans l’application (n’importe quel lien web fonctionne), puis allez sur https://inappbrowser.com.
- Sur ordinateur : Pour tester des sites web et des extensions de navigateur sur le bureau, ouvrez votre navigateur préféré et allez sur inappbrowser.com.
- Une fois le site chargé, vous verrez un message détaillant tout comportement Javascript potentiellement suspect qu’InAppBrowser intercepte (s’il y en a), ainsi que des explications sur ce que le code peut être utilisé.
Ces résultats peuvent vous aider à repérer un comportement potentiellement malveillant, mais il y a quelques réserves à mentionner.
Tout d’abord, InAppBrowser ne vous alerte que sur l’existence d’injection Javascript et ne peut pas dire si une application ou une extension de navigateur est réellement malveillante. Il signale même les applications et les extensions de navigateur qui utilisent l’injection Javascript mais qui ne vous suivent pas du tout. Cela signifie que les extensions de navigation privées qui bloquent les trackers d’un site web, les applications qui collectent des données de navigation à des fins publicitaires ou de dépannage (comme TikTok), et les applications malveillantes qui vous espionnent seront toutes signalées avec les mêmes avertissements. Même Krause met en garde contre le fait de sauter aux conclusions si une application utilise une injection Javascript.
De même, InAppBrowser ne peut pas vous alerter sur d’autres formes de suivi que les applications, les navigateurs et les sites web peuvent utiliser. Cela signifie qu’une application peut passer le test d’InAppBrowser tout en collectant toujours vos données par d’autres moyens, donc ne comptez pas sur InAppBrowser comme votre seule méthode pour tester la sécurité d’une application. Il est toujours important de savoir si une application utilise des injections Javascript – de manière malveillante ou non – afin de décider vous-même si l’application vaut la peine d’être utilisée.
Que pensez-vous jusqu’à présent ?
Si vous découvrez qu’une application pourrait vous suivre et que vous souhaitez y mettre fin, vous avez plusieurs options. La meilleure solution est de supprimer l’application. Si elle n’est pas sur votre téléphone, elle ne peut pas vous suivre.
Si vous voulez garder une application mais limiter son suivi, allez dans les paramètres de l’application et voyez si vous pouvez changer le navigateur par défaut pour votre application préférée, comme Safari, Firefox ou même Chrome. Safari est une option particulièrement bonne puisque les versions récentes bloquent de nombreux comportements Javascript dont InAppBrowser met en garde.
De plus, désactivez le suivi des applications dans iOS ou les menus de paramètres Android. Cela est plus efficace pour les utilisateurs d’iOS, mais cela peut également freiner le suivi publicitaire sur Android. Désactivez également le suivi de localisation. Honnêtement, il est recommandé d’ajuster ces paramètres de toute façon, même si toutes les applications que vous utilisez passent le test d’inspection Javascript.
