📱 2022-08-19 01:25:31 – Paris/France.
Selon le chercheur en sécurité Felix Krause, le navigateur intégré à l’application de TikTok sur iOS aurait injecté du code JavaScript dans des sites Web externes qui permet à TikTok de surveiller « toutes les entrées et pressions du clavier » pendant qu’un utilisateur interagit avec un site Web donné, mais TikTok aurait nié cela le code est utilisé pour des raisons malveillantes.
Krause a déclaré que le navigateur intégré à l’application de TikTok « s’abonne » à toutes les entrées du clavier pendant qu’un utilisateur interagit avec un site Web externe, y compris tous les détails sensibles tels que les mots de passe et les informations de carte de crédit, ainsi que chaque pression sur l’écran.
« D’un point de vue technique, cela équivaut à installer un enregistreur de frappe sur des sites Web tiers », a écrit Krause, à propos du code JavaScript que TikTok injecte. Cependant, le chercheur a ajouté que « ce n’est pas parce qu’une application injecte du JavaScript dans des sites Web externes que l’application fait quelque chose de malveillant ».
Dans une déclaration partagée avec Forbesun porte-parole de TikTok a reconnu le code JavaScript en question, mais a déclaré qu’il n’est utilisé que pour le débogage, le dépannage et la surveillance des performances afin de garantir une « expérience utilisateur optimale ».
« Comme d’autres plates-formes, nous utilisons un navigateur intégré à l’application pour offrir une expérience utilisateur optimale, mais le code Javascript en question n’est utilisé que pour le débogage, le dépannage et la surveillance des performances de cette expérience, comme vérifier la vitesse de chargement d’une page ou si elle se bloque. « , indique le communiqué, selon Forbes.
Krause a déclaré que les utilisateurs qui souhaitent se protéger de toute utilisation malveillante potentielle du code JavaScript dans les navigateurs intégrés devraient passer à l’affichage d’un lien donné dans le navigateur par défaut de la plate-forme si possible, comme Safari sur iPhone et iPad.
« Chaque fois que vous ouvrez un lien depuis n’importe quelle application, voyez si l’application offre un moyen d’ouvrir le site Web actuellement affiché dans votre navigateur par défaut », a écrit Krause. « Au cours de cette analyse, toutes les applications autres que TikTok ont proposé un moyen de le faire. »
Facebook et Instagram sont deux autres applications qui insèrent du code JavaScript dans des sites Web externes chargés dans leurs navigateurs intégrés, donnant aux applications la possibilité de suivre l’activité des utilisateurs, selon Krause. Dans un tweet, un porte-parole de la société mère de Facebook et Instagram, Meta, a déclaré que la société « a intentionnellement développé ce code pour honorer les choix des utilisateurs en matière de transparence du suivi des applications (ATT) sur nos plateformes ».
Krause a déclaré avoir créé un outil simple qui permet à quiconque de vérifier si un navigateur intégré à l’application injecte du code JavaScript lors du rendu d’un site Web. Le chercheur a déclaré que les utilisateurs doivent simplement ouvrir une application qu’ils souhaitent analyser, partager l’adresse InAppBrowser.com quelque part dans l’application (comme dans un message direct à une autre personne), appuyer sur le lien à l’intérieur de l’application pour l’ouvrir dans le in -navigateur d’application, et lisez les détails du rapport affiché.
Apple n’a pas immédiatement répondu à une demande de commentaire.
SOURCE : Reviews News
N’hésitez pas à partager notre article sur les réseaux sociaux afin de nous donner un solide coup de pouce. 🤗
