19/08/2022 @ 16:52:08: Navigateurs - Le navigateur intégré à l'application de TikTok sur iOS peut enregistrer tout ce que vous tapez
L'utilisation de navigateurs intégrés à l'application n'est pas une bonne idée, a révélé le chercheur en sécurité Felix Krause . En fait, son étude a révélé que certaines applications, telles qu'Instagram et Facebook, injectent du code JavaScript dans des sites Web tiers, entraînant des risques potentiels pour la sécurité et la confidentialité des utilisateurs. Mais maintenant, Krause a montré comment TikTok va plus loin, en installant l'équivalent d'un enregistreur de frappe à part entière qui enregistre tout ce que vous tapez, les mots de passe, les numéros de carte de crédit et même les touches sur l'écran. Le problème sous-jacent réside dans le fait que les applications en question injectent du code JavaScript dans des sites Web externes chargés dans leurs navigateurs intégrés , donnant aux applications la possibilité de suivre l'activité des utilisateurs. Cela pourrait poser des risques pour la vie privée , car si une entreprise peut accéder aux données des utilisateurs légalement et gratuitement, sans demander d'autorisation, elle les suivra. Maintenant, cependant, le discours est un peu différent, car si les navigateurs intégrés de Facebook et Instagram enregistrent ce sur quoi vous cliquez mais pas le texte que vous saisissez, TikTok est beaucoup plus invasif. Bien sûr, le chercheur avertit que ce n'est pas parce qu'une application injecte du JavaScript dans des sites Web externes qu'elle fait nécessairement quelque chose de malveillant , mais la possibilité de le faire sans aucun contrôle reste troublante. De plus, alors que d'autres applications permettent aux utilisateurs d'utiliser un navigateur externe (tel que Safari ), TikTok n'offre pas cette option.
TikTok aurait reconnu l'utilisation du code JavaScript, mais a déclaré qu'il n'est utilisé que pour le débogage, le dépannage et la surveillance des performances afin de garantir une "meilleure expérience utilisateur". En ce qui concerne Facebook et Instagram, Meta a déclaré qu'il avait "développé intentionnellement ce code pour honorer les choix des utilisateurs en matière de transparence du suivi des applications (ATT) sur nos plateformes". Quelle que soit la vérité, Krause réitère que techniquement, l'utilisation de navigateurs intégrés à l'application est un problème, et est probablement une réponse aux nouvelles règles d'Apple bloquant le suivi (et causant Meta 10 milliards de revenus ). Mais comment se défendre ? Tout d'abord, si possible, en utilisant un navigateur externe . Chaque fois que vous ouvrez un lien depuis n'importe quelle application, vérifiez s'il existe un moyen de le faire dans le navigateur par défaut (comme Safari). Comme nous l'avons vu, cela est possible avec toutes les applications, à part TikTok . De plus, Krause a créé un outil qui permet à quiconque de vérifier si un navigateur intégré à l'application injecte du code JavaScript lors du rendu d'un site Web. Pour l'utiliser, vous devez partager le site InAppBrowser avec l'application en question (par exemple avec un message direct) et ouvrez-le avec le navigateur intégré à l'application. Et que dit Apple ? Pour le moment, aucun commentaire n'a été reçu, mais si vous souhaitez lire l'étude de Felix Krause , vous pouvez vous rendre sur son site Web , qui est vraiment instructif.
Etude: https://krausefx.com/