Browsing på mobilen

12 Aug 2022

Det startede med en artikel af Felix Krause, der forklarer at Facebook og Instagram apps indsætter JavaScript kode på besøgte hjemmesider gennem deres egen mini-browser i appen:

Det gør det muligt for Instagram at overvåge al aktivitet på eksterne hjemmesider, uden tilladelse fra hverken brugeren eller hjemmesidens udbyder [min oversættelse]

Det inkluderer indsamling af brugernavne og adgangskoder, betalingskort, tidligere køb på hjemmesiderne, scrollposition (en indikation af læseaktivitet), klik og kopiering af tekst og billeder! Krauses undersøgelse indikerer dog kun indsamling de besøgte hjemmesiders adresse.

Herfra en god artikel af Adrian Holovaty om flere problemer med mini-browsere i apps, f.eks. irritation ved at de ofte medfører at jeg skal logge ind igen på den besøgte hjemmeside, men fremhæver de vigtige sikkerhedsmæssige problemer:

Når en app viser en hjemmeside via et webview [mini-browseren nævnt ovenfor], har appen kontrol over siden. […] Det betyder at appen kan indsætte vilkårlig JavaScript på enhver hjemmeside, der vises i det webview [min oversættelse]

Og videre til browserprogrammør Alex Russells serie om betydningen af browservalg, del 2:

Selvfølgelig ville de [Facebook] blive grebet i at spore brugere over internettet via in-app browsere, præcis som denne artikel advarede om sidste år [min oversættelse]

Der er mange vigtige pointer i de nævnte artikler, men konkret, sikkerhedsmæssigt er konklusionen klar: Sørg altid for at åbne links til hjemmesider i den fulde browser på telefonen.