本月早些时候，安全研究员和前谷歌员工FelixKrause发布了一份报告，详细介绍了Instagram、Facebook和其他应用程序如何使用应用程序内浏览器来跟踪人们的在线行为。现在，克劳斯带着一个工具回来了，它可以帮助向用户展示这种跟踪的范围。

如果您错过了克劳斯的原始报告，这里有一个快速解释。许多应用程序都具有内置的网络浏览器，可以打开用户在应用程序中单击的链接。Krause在报告中强调了来自Meta的应用程序，例如Facebook和Instagram，但许多其他应用程序也这样做。(Tiktok是更令人震惊的一种——Krause声称TikTok可以监控其自定义浏览器中的所有键盘输入和点击，但该公司告诉《福布斯》它只使用有问题的JavaScript进行调试。)

值得注意的是，并非所有应用内浏览器都不好。有些应用程序使用自定义的应用程序内浏览器，而其他应用程序则使用Apple的Safari。Twitter、Reddit、Gmail和其他应用程序依靠Safari或“SFSafariViewController”在应用程序中打开网站。Krause提供了执行此操作的应用程序列表，并指出它们是“安全的”，因为应用程序无法注入代码。Android提供“自定义选项卡”功能，如果它支持自定义选项卡，它会利用用户的默认浏览器在应用程序内加载网站。目前尚不清楚JavaScript注入是否同样会影响这一点。

一方面，这对大多数人来说可能并不令人惊讶。如果应用程序跟踪您在应用程序中所做的事情，为什么应用程序内浏览器会发生变化?另一方面，这可以为某些人敲响警钟，并希望鼓励采取一些行动来防止这种跟踪。这可能来自那些控制应用商店的人(例如，Apple可以调整其指导方针以防止此类行为，或者可能扩展其AppTrackingTransparency功能以涵盖此类行为)。

更有可能的是，用户将独自保护自己。最好的方法是避免使用应用内浏览器——幸运的是，大多数应用程序都包含一个使用默认浏览器的选项，这意味着您单击的任何链接都将在您的实际浏览器中打开，而不是应用内选项。

你能做的另一件事是什么?使用Krause的新工具测试哪些应用将JavaScript注入到应用内浏览器中。它名为“inappbrowser.com”，是一个用户可以打开的网站，可以检测JavaScript注入。当然，也有限制。inappbrowser.com工具无法检测到所有已执行的JavaScript命令，并且仅仅因为JavaScript存在并不意味着正在发生恶意事件。

不过，运行inappbrowser.com测试可以让您知道应用程序是否正在注入JavaScript，如果是，则可能意味着它正在跟踪某些内容。要使用该工具，请使用应用内浏览器导航到“inappbrowser.com”。当然，诀窍是到达那里——大多数应用内浏览器不允许你输入URL。相反，您必须单击要测试的应用程序中的链接。例如，您可以发布带有链接的评论并单击它或向自己发送DM。