📱 2022-08-12 23:03:00 – Paris/France.
Les applications Instagram et Facebook de Meta sur les appareils iOS ont injecté du code JavaScript dans des sites Web tiers à partir de leur navigateur intégré personnalisé, accédant ainsi à des données qui ne seraient pas disponibles si ces pages étaient chargées dans un navigateur iOS autonome basé sur WebKit.
Les navigateurs intégrés à l’application – implémentés dans le code natif Android et iOS à l’aide d’un composant appelé WebView – permettent aux utilisateurs d’applications natives d’interagir avec des sites Web sans quitter leurs applications et ouvrir des applications de navigateur autonomes. À cette fin, iOS propose WKWebView, qui fait partie du framework WebKit, et le plus récent (et plus protégeant la vie privée) SFSafariViewController, qui fait partie du framework SafariServices.
Les applications de Meta reposent sur WKWebView, la plus performante et la plus personnalisable des deux options, qui représentent toutes deux des alternatives à l’ouverture de liens Web dans la version iOS de Safari.
« Cela entraîne divers risques pour l’utilisateur, l’application hôte pouvant suivre chaque interaction avec des sites Web externes, de toutes les entrées de formulaire telles que les mots de passe et les adresses, à chaque clic », a expliqué le développeur Felix Krause, fondateur de fastlane.tools, dans un article de blog explorant les implications de confidentialité des applications de Meta.
Ces risques incluent des inconvénients, comme ne pas avoir de données de session de connexion utilisateur disponibles (nécessitant une authentification supplémentaire lors des transactions) et ne pas avoir accès aux extensions de navigateur mobile comme les gestionnaires de mots de passe. Il existe également des problèmes de sécurité et de confidentialité qui découlent de tout code injecté – il pourrait potentiellement lire le contenu de n’importe quelle page Web dans laquelle il s’exécute, modifier les identifiants des annonces, saisir les informations d’identification, etc.
Rien n’indique que le script injecté (pcm.js) le fasse. Si vous faites confiance à Meta, vous ne devriez pas craindre que son script soit révisé avec des fonctions plus pernicieuses. Meta soutient que le code JavaScript que ses applications ajoutent aux sites Web permet de regrouper des événements tels que les achats en ligne pour des publicités et des analyses ciblées.
« Le code en question nous permet de respecter les choix de confidentialité des personnes en aidant à regrouper des événements (comme effectuer un achat en ligne) à partir de pixels déjà présents sur des sites Web, avant que ces événements ne soient utilisés à des fins publicitaires ou de mesure », a déclaré Andy Stone, directeur des communications chez Meta. , via Twitter.
Krause, dans son analyse de l’injection de code effectuée par les applications iOS Instagram et Facebook, a revisité les préoccupations que lui et d’autres développeurs Web ont exprimées à plusieurs reprises ces dernières années.
Krause a en fait déposé un rapport de bogue auprès d’Apple à ce sujet en 2018. « Permettre aux applications d’afficher du contenu Web tiers dans une vue Web intégrée à l’application (WKWebView) introduit un risque majeur pour la sécurité et la confidentialité des utilisateurs d’iOS », a-t-il écrit dans un soumission au système de suivi des bogues Radar de confidentialité d’Apple et au site public Open Radar créé en raison de l’insistance maussade d’Apple sur le secret.
La vie privée, nous en avons entendu parler
Le problème, selon les développeurs Web, est que les applications de Meta sapent les attentes en matière de confidentialité sur le Web et les choix de navigateur effectués par les utilisateurs d’iOS, bien que ces choix puissent être limités par la règle WebKit désormais incertaine d’Apple.
« Les navigateurs intégrés à l’application ne devraient pas être autorisés à subvertir le choix de navigateur d’un utilisateur », a déclaré Open Web Advocacy, un groupe qui conteste les pratiques Web anticoncurrentielles, via Twitter. « Apple et Google devraient appliquer cela au niveau du système d’exploitation. OWA plaide pour que les utilisateurs aient le contrôle sur ce qui se passe lorsqu’ils appuient sur un lien, quelle que soit l’application. »
Meta insiste sur le fait que Krause a mal compris son injection de page Web. « Nous avons intentionnellement développé ce code pour honorer les choix des utilisateurs en matière de transparence du suivi des applications (ATT) sur nos plateformes », a déclaré un porte-parole de Meta à The Register dans un e-mail. « Le code nous permet d’agréger les données avant qu’elles ne soient utilisées à des fins de publicité ciblée ou de mesure. »
La transparence du suivi des applications d’Apple, une fonctionnalité de confidentialité introduite par Apple l’année dernière qui nécessite le consentement de l’utilisateur pour le suivi lié aux publicités, devrait coûter à Meta 10 milliards de dollars de revenus publicitaires en 2022. Vous pouvez donc imaginer à quel point Meta est enthousiaste à se conformer.
Il convient également de noter que dans son empressement à respecter les décisions de confidentialité des gens, les applications Instagram et Facebook de Meta sur iOS n’offrent aucun moyen de se retirer de l’injection de code ostensiblement respectueuse de la vie privée.
« Le véritable scandale concernant le » navigateur « In-App de FB n’est pas le suivi supplémentaire, c’est la subversion du choix du navigateur », a déclaré Alex Russell, responsable du programme partenaire Microsoft Edge, via Twitter. « Je suis sûr que c’est totalement une coïncidence que cela aussi a pour effet de supprimer le blocage des trackers que les vrais navigateurs pourraient appliquer. »
Le registre a demandé au porte-parole de Meta d’expliquer comment l’injection de code dans un navigateur intégré personnalisé pour évaluer les préférences de suivi des utilisateurs peut être considérée comme « honorant les gens [ATT] choix » lors de l’ouverture simple de pages Web dans le navigateur préféré des utilisateurs ou à l’aide de SFSafariViewController d’Apple le ferait plus efficacement.
Nous n’avons pas eu de réponse. ®
SOURCE : Reviews News
N’hésitez pas à partager notre article sur les réseaux sociaux afin de nous donner un solide coup de pouce. 🤗