L’une des choses les plus ennuyeuses que font certaines applications est d’incorporer leur propre navigateur intégré à l’application, en l’ouvrant pour les liens Web au lieu de respecter le navigateur par défaut que vous avez choisi.
Cela a longtemps été une nuisance, mais un développeur a maintenant expliqué les risques de sécurité de le faire, en particulier lorsqu’il s’agit d’entreprises qui ne sont pas réputées pour leurs normes de confidentialité – comme Facebook…
Le facteur de nuisance des navigateurs intégrés à l’application est qu’ils ne nous permettent pas d’accéder à nos données stockées, comme les noms d’utilisateur et les mots de passe, pour la connexion automatique – ni aux informations de paiement pour les achats. Cela indique que nous devons saisir ces données manuellement, au lieu de laisser Safari le faire pour nous.
Mais le plus gros problème, explique le fondateur de Fastlane, Felix Krause, ce sont les risques de confidentialité liés à l’utilisation d’un navigateur intégré à l’application. Il utilise Meta comme exemple.
L’application iOS Instagram et Facebook affiche tous les liens et publicités de tiers dans leur application à l’aide d’un navigateur intégré à l’application. Cela entraîne divers risques pour l’utilisateur, l’application hôte pouvant suivre chaque interaction avec des sites Web externes, de toutes les entrées de formulaire telles que les mots de passe et les adresses, à chaque clic.
Il fait référence à Instagram, mais exactement les mêmes choses s’appliquent à Facebook :
- Les liens vers des sites Web externes sont rendus dans l’application Instagram, au lieu d’utiliser Safari intégré.
- Cela permet à Instagram de surveiller tout ce qui se passe sur des sites Web externes, sans le consentement de l’utilisateur, ni du fournisseur du site Web.
- L’application Instagram injecte son code de suivi dans chaque site Web affiché, y compris lorsque vous cliquez sur des publicités, ce qui leur permet de surveiller toutes les interactions des utilisateurs, comme chaque bouton et lien tapé, les sélections de texte, les captures d’écran, ainsi que toutes les entrées de formulaire, comme les mots de passe, les adresses et le crédit. numéros de carte.
C’est un moyen très simple pour Meta de contourner les règles de transparence du suivi des applications d’Apple ; cela fonctionne également pour les sites Web non cryptés et cryptés.
Il est important de noter que Krause n’est pas en mesure d’indiquer quelles informations Meta Est-ce que extrait – il a seulement confirmé qu’ils extraient quelque chose.
Je n’ai pas de liste de données précises qu’Instagram envoie à la maison. J’ai la preuve que les applications Instagram et Facebook exécutent activement des commandes JavaScript pour injecter un SDK JS supplémentaire sans le consentement de l’utilisateur, ainsi que pour suivre les sélections de texte de l’utilisateur. Si Instagram le fait déjà, ils pourraient également injecter n’importe quel autre code JS.
En pratique, bien sûr, Meta ne copiera pas vos mots de passe et les détails de votre carte de crédit. Mais parce que nous ne pouvons pas dire quelles informations il est l’extraction, c’est une autre raison de toujours sauter directement des navigateurs intégrés à l’application vers celui que vous préférez.
Dans l’application Facebook, par exemple, vous pouvez appuyer sur les trois points en bas à droite, puis sélectionner Ouvrir dans le navigateur. Si vous n’avez pas cette option dans une application, il y aura généralement une icône dont les options incluent ceci ou la possibilité de copier le lien afin de le coller dans Safari.
Krause explique également comment les sites Web peuvent se protéger contre la participation involontaire à ce type de collecte de données.
Jusqu’à ce qu’Instagram résolve ce problème (si jamais), vous pouvez assez facilement tromper l’application Instagram et Facebook pour croire que le code de suivi est déjà installé. Ajoutez simplement ce qui suit à votre code HTML :
<span id="iab-pcm-sdk"></span>
<span id="iab-autofill-sdk"></span>De plus, pour empêcher Instagram de suivre les sélections de texte de l’utilisateur sur votre site Web :
const originalEventListener = document.addEventListener
document.addEventListener = function(a, b) {
if (b.toString().indexOf("messageHandlers.fb_getSelection") > -1) {
return null;
}
return originalEventListener.apply(this, arguments);
}Enfin, il a quelques recommandations pour Apple afin de contrer ces types d’atteintes à la vie privée.
Photo : James Yarema/Unsplash
Découvrez cette vidéo ci-dessous (en anglais) pour plus d’actualités Apple :
