[1] 먼저, iOS와 안드로이드 인앱 브라우저의 보안성을 검사할 수 있는 사이트가 생겼습니다.
인앱 브라우저란 크롬이나 사파리 같은 일반 브라우저가 아니고,
다른 앱에서 웹 페이지를 보여주기 위해 만든 기능을 일반적으로 부르는 이름입니다.
웹을 열 수 있는 앱에서 https://InAppBrowser.com 에 들어가 확인할 수 있습니다.
(소스 코드가 GitHub에 공개되어 있습니다. https://github.com/KrauseFx/inAppBrowser.com )
-----
[2] 사이트를 만든 연구자가 틱톡을 분석했을 때
키 입력을 모니터링할 수 있는 자바스크립트가 들어간다는 것을 확인했다고 합니다.
틱톡은 크리에이터 프로필이나 광고에 있는 링크를 클릭했을 때 따로 브라우저를 여는 게 아니라
계속 틱톡 앱 안에서(=인앱) 페이지를 보여주는데 이때 틱톡의 코드가 들어간다는 것입니다.
틱톡도 코드가 들어간 것은 인정, 그러나 디버깅 목적이었고 실제로 쓰지는 않았다는 입장입니다.
The company confirmed those features exist in the code, but said TikTok is not using them.
"Like other platforms, we use an in-app browser to provide an optimal user experience, but the Javascript code in question is used only for debugging, troubleshooting and performance monitoring of that experience — like checking how quickly a page loads or whether it crashes,” spokesperson Maureen Shanahan said in a statement.
□ 출처
1. 공식 (Felix Krause)
2. 포브스 기사
TikTok’s In-App Browser Includes Code That Can Monitor Your Keystrokes, Researcher Says
그래서 중궈폰 소식나오면 보안무새 하는 사람들에게 니 폰에 틱톡부터 지우고 얘기하라고 싶네요.
아. 그리고 자기가 여태까지 스팸 전화나 문자를 단 하나라도 받았다면 이미 정보 유출된겁니다.
제가 메모하던 사람(삼성을 티나게 옹호)이 있는데 중국폰엔 보안드립치더니만 모공에서 틱톡에서 웃긴거 봤다고 올리는거 보고 참 멍청하다 생각했거든요. 다는 아닌데 이런 경우 상당히 많을 겁니다.
네 그래서 적어도 보안드립칠려면 니폰에 중국관련 앱은 다 지우고 얘기해라.
이게 하고 싶은 말이네요.
틱톡이나 인스타나... 참...
극극혐!!
참고로 트위터, 텔레그램에선 괜찮다고 나오네요
https://www.clien.net/service/board/park/17501546CLIEN
S22에서 카톡 인 앱 브라우저로 시도해 봤는데 녹색으로 떴습니다. iOS용하고 다른가봐요
특히 iOS의 경우 기본을 쓰는 경우가 아니라면, 브라우저의 커스텀 동작을 구현하기위해 필요합니다.
애초에 단순한 정보수집 (접속로그)등은 자바스크립트 인젝션 없이 앱코드 레벨에서 수집할 수 있어요.
다만 자바스크립트 주입으로 실제로 해킹을 하고 있는 제3자 브라우저가 있을 수 있어서 주의는 하긴 해야할 것 같습니다.