Rejoignez-nous
High tech

Le navigateur intégré à l’application de TikTok peut surveiller chaque frappe

Nicolas

Date de publication :

le

Le navigateur intégré à l'application de TikTok peut surveiller chaque frappe

TikTok dit qu’il le fait pour « fournir une expérience utilisateur optimale ».

Vous savez comment certaines applications populaires ne vous laissent pas sortir de l’application lorsque vous cliquez sur un lien, ouvrant ce lien dans leur propre petit navigateur intégré à la place ?

Il s’avère que cela permet à ces applications de surveiller ce que vous faites. Et parmi les applications les plus populaires qui font cela, TikTok semble être le pire contrevenant.

Dans un article de blog Jeudi, le chercheur en sécurité Felix Krause a annoncé le lancement d’InAppBrowser, un outil qui répertorie toutes les commandes JavaScript exécutées par une application iOS lorsque son navigateur intégré rend une page Web.

Pour montrer ce que l’outil peut faire, Krause a analysé certaines applications iOS populaires dotées d’un navigateur intégré à l’application, et les résultats sont inquiétants. Les données de Krause montrent que des applications telles que TikTok, Instagram, Facebook Messenger et Facebook modifient toutes les pages Web ouvertes dans le navigateur intégré à l’application. « Cela inclut l’ajout de code de suivi (comme les entrées, les sélections de texte, les taps, etc.), l’injection de fichiers JavaScript externes, ainsi que la création de nouveaux éléments HTML », explique Krause. Ils récupèrent également les métadonnées du site Web, bien que Krause affirme que cela est « inoffensif ».

Lorsque Krause a creusé un peu plus profondément ce que font réellement les navigateurs intégrés à ces applications, il a découvert que TikTok faisait de mauvaises choses, notamment la surveillance de toutes les entrées et frappes au clavier des utilisateurs. Ainsi, si vous ouvrez une page Web dans l’application de TikTok et que vous y entrez les détails de votre carte de crédit, TikTok peut accéder à tous ces détails. TikTok est également la seule application, parmi toutes les applications que Krause a examinées, qui n’offre même pas une option pour ouvrir le lien dans le navigateur par défaut de l’appareil, vous obligeant à passer par son propre navigateur intégré.

MISE À JOUR : 23 août 2022, 9 h 59 HAE Lors d’une conversation avec Motherboard, Krause a expliqué que son rapport « ne dit pas que TikTok enregistre et utilise réellement ces données ». TikTok a déclaré au point de vente que ses conclusions étaient « incorrectes et trompeuses ». « Nous ne collectons pas les saisies de frappe ou de texte via ce code, qui est uniquement utilisé pour le débogage, le dépannage et la surveillance des performances », a déclaré un porte-parole de TikTok.

Consultez l’article de la carte mère.

Dans une déclaration à Forbesun porte-parole de TikTok a confirmé la pratique, mais a déclaré que « le code Javascript en question n’est utilisé que pour le débogage, le dépannage et la surveillance des performances de cette expérience ».

Tout est nécessaire pour fournir « une expérience utilisateur optimale », a-t-elle déclaré.

D’autres applications que Krause a examinées, comme Instagram, effectuent également leur propre surveillance, même si aucune d’entre elles ne va aussi loin que TikTok. Et Snapchat et Robinhood en sont de bons exemples, car ils ne modifient pas les pages Web ni ne récupèrent les métadonnées des sites que vous ouvrez dans leurs navigateurs intégrés.

Krause avertit que les applications ont en fait un moyen de cacher leur activité JavaScript à son outil InAppBrowser, ce qui signifie qu’elles pourraient faire plus de surveillance dans les coulisses. Pour l’instant, le seul moyen de s’assurer qu’ils ne peuvent effectuer aucune surveillance consiste à ouvrir les sites Web dans le navigateur par défaut de l’appareil, si l’application propose même cette option.

Nicolas est journaliste depuis 2014, mais avant tout passionné des jeux vidéo depuis sa naissance, et des nouvelles technologies depuis son adolescence.

Cliquer pour commenter

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *