L’iPhone a un vrai problème de sécurité : TikTok peut lire vos mots de passe

 

La polémique sur les navigateurs intégrés aux applications sur iOS enfle. Un développeur a prouvé que les applications pouvaient largement accéder à vos données, même vos mots de passe.

Source : Frandroid/Arnaud Gelineau

Depuis une semaine, une polémique enfle du côté de l’iPhone. Apple est connu pour mettre l’accent sur la sécurité et la confidentialité des données des utilisateurs. Mais voilà, une fonction assez commune des applications connectées comprend un vrai trou dans la raquette côté sécurité.

On a ainsi pu découvrir que le navigateur intégré aux applications Instagram et Facebook, qui s’ouvre en cliquant sur des liens, était en mesure de traquer vos faits et gestes, tant que vous restez dans ce navigateur. Tout cela sans le consentement de l’utilisateur et en dehors des règles mises en place par Apple sur le suivi des données.

Un développeur dévoile l’étendue du problème

Felix Krause, développeur émérite passé par Google et Twitter a pris l’affaire en main pour développer InAppBrowser. Il s’agit d’un site web à ouvrir avec le navigateur intégré de votre application préférée pour tester ce qu’elle injecte dans les commandes JavaScript. Il suffit de partager le lien vers le site InAppBrowser.com sur un réseau social comme TikTok ou Instagram, pour l’ouvrir avec l’application concernée.

On découvre ainsi que l’application TikTok injecte du code qui permet de suivre absolument toutes vos actions dans son navigateur. Elle peut ainsi lire tout ce que vous taperez au clavier, ce qui inclut vos mots de passe, et tous les « taps », c’est-à-dire les actions sur l’écran tactile.

Le réseau social a déjà répondu auprès de Forbes sur le sujet. La firme reconnait l’intégration de ces fonctions, mais promet de ne pas les utiliser.

Comme d’autres plateformes, nous utilisons un navigateur intégré à l’application pour offrir une expérience utilisateur optimale, mais le code JavaScript en question n’est utilisé que pour le débogage, le dépannage et le contrôle des performances de cette expérience, par exemple pour vérifier la vitesse de chargement d’une page ou l’absence de panne.

Felix Krause précise que son outil n’est pas parfait. Il ne permet pas de tout détecter et notamment pas le code natif utilisé par ces services pour certains suivis. Cela veut dire que certains éléments traqués par les entreprises comme Facebook et TikTok ne sont pas détectés.

Par ailleurs, on ne peut en effet pas savoir comment les applications utilisent les données récoltées. Si elles sont utilisées uniquement pour du dépannage ou si les données sont récupérées pour être traitées.

Les applications qui ne posent pas de problèmes

Pour poser un problème pour la confidentialité des utilisateurs, les applications utilisent leur propre navigateur interne. D’autres font le choix d’utiliser une version intégrée du navigateur Safari appelé grâce à l’API SFSafariViewController. Ces applications sont donc hors de cause, elles ne peuvent pas intégrer de codes JavaScript dans Safari.

Dans la liste on peut mentionner Twitter, WhatsApp, Reddit, YouTube, Gmail, Twitch, Spotify, Microsoft Outlook, Teams et OneNote, Telegram, Slack et Signal.

Désactiver le navigateur interne

D’autres applications qui sont mises en cause par l’outil de Felix Krause permettent à l’utilisateur de choisir entre le navigateur par défaut d’iOS et le navigateur interne de l’application.

Ceux qui se soucient de la sécurité de leurs données sont donc invités à désactiver le navigateur interne de l’application. C’est possible sur Instagram, Facebook Messenger, Facebook, Amazon et Snapchat notamment.

Apple doit réagir

Comme le souligne Felix Krause, les développeurs d’applications qui posent un problème sur la question de la confidentialité peuvent tout à fait mettre à jour leurs applications pour masquer ces découvertes. Ils peuvent notamment détourner l’utilisation d’une API nommée WKContentWorld pour ne plus permettre de détecter les commandes JavaScript intégrées à leurs applications.

Il faudrait donc une nouvelle réglementation d’Apple autour des navigateurs internes pour corriger ces problèmes de confidentialité. La firme pourrait permettre l’utilisation de navigateur interne du moment que l’application envoie des liens interne à son service (TikTok.com dans le cas de TikTok par exemple), mais obliger l’utilisation de la vue Safari pour les liens externes.

Apple se place comme une championne de la vie privée. Il est clair que cette situation ne peut pas perdurer.

Le saviez-vous ? Google News vous permet de choisir vos médias. Ne passez pas à côté de Frandroid et Numerama.

Signaler une erreur dans le texte
Source : Felix Krause
Cassim Montilla

Journaliste

  • L’iPhone a un vrai problème de sécurité : TikTok peut lire vos mots de passe | Essentielsite

    […] L’iPhone a un vrai problème de sécurité : TikTok peut lire vos mots de passe […]

  • TikTok can read your passwords - High Tech Ref

    […] Source link […]

Ce contenu est bloqué car vous n'avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Disqus.
Pour pouvoir le visualiser, vous devez accepter l'usage étant opéré par Disqus avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l'amélioration des produits d'Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l'audience de ce site (en savoir plus)

Gérer mes choix

Lectures liées

Humanoid Native
Clients Orange Bank : cette banque en ligne vous déroule le tapis rouge

Clients Orange Bank : cette banque en ligne vous déroule le tapis rouge

Source : TechCrunch

Amazon vend un outil qui peut neutraliser un iPhone à distance

Apple iPhone 15 et 15 Plus // Source : Chloé Pertuis - Frandroid

iOS 17.1.2 : pourquoi cette mise à jour est importante pour la sécurité de votre iPhone

Source : Chloé Pertuis - Frandroid

iOS 17.3 : une mise à jour qui protège votre iPhone en cas de vol

Source : Unsplash

« Vous êtes la cible d’une attaque d’un logiciel espion mercenaire » : pourquoi Apple envoie ce message

Apple iPhone 14 // Source : Frandroid - Anthony Wonner

Top 10 des smartphones vendus : les 7 premières places pour Apple

Les derniers articles

Apple

La dernière vidéo

Test du Galaxy A15 - Ça vaut quoi un Samsung pas cher ?

Test du Galaxy A15 - Ça vaut quoi un Samsung pas cher ?

Les tendances

Les derniers articles