Många mobilappar har en inbyggd webbläsare för att användare ska kunna stanna i appen när de klickar på länkar, eller utför något som kräver en webbanslutning (till exempel loggar in på ett konto). Twitter, Instagram och Tiktok är bara tre exempel på populära appar med inbyggd webbläsare.

Vad de flesta förmodligen inte känner till är att många av dessa inbyggda webbläsare inte fungerar likadant som den vanliga webbläsaren på varken IOS eller Android. De kan nämligen injicera ytterligare javascript-kod på samtliga sidor som laddas.

Säkerhetsforskaren och utvecklaren Felix Krause (uppföljningsartikel med mer info här) har tagit fram ett verktyg som kan avslöja sådan injicerad kod, och har även visat hur flera populära appar använder tekniken.

Instagram på IOS till exempel lägger till kod som håller koll på om du markerar text på en sida, och lägger till ett skript som kontrollerar huruvida använder tillåter spårning på sidor som inte redan har den. Även på Android gör den det senare. Tiktok på IOS är ännu värre: Appen övervakar all textinmatning och har dessutom ingen genväg till att istället öppna sidan i din standardwebbläsare.

En del appar med inbyggd webbläsare på IOS använder Safari som mellanhand och har inte möjlighet att injicera kod på det här sättet. Det gäller till exempel Twitter, Reddit, Whatsapp och Youtube.

Felix Krauses tips är att alltid klicka på knappen för att öppna externa länkar i telefonens standardwebbläsare istället för appens inbyggda. Du kan själv testa om en app du använder injicerar kod genom att besöka inappbrowser.com via den inbyggda webbläsaren, men Felix Krause varnar att det på IOS finns ett sätt för appar att dölja injicerad javascript-kod.