Il y a quelques jours, le développeur Felix Krause a partagé un rapport détaillé sur la façon dont les applications mobiles peuvent utiliser leur propre navigateur Web intégré pour suivre les données des utilisateurs. Maintenant, Krause est de retour avec un nouvel outil qui permet à quiconque de voir les commandes JavaScript injectées via un navigateur intégré à l’application.
La plate-forme s’appelle InAppBrowser et tout utilisateur intéressé peut y accéder pour vérifier comment un navigateur Web intégré à une application injecte du code JavaScript pour suivre les personnes.
Pour ceux qui ne sont pas familiers, un navigateur intégré à l’application entre généralement en action lorsqu’un utilisateur appuie sur une URL dans une application. De cette façon, l’application affiche la page Web sans avoir à rediriger l’utilisateur vers une application de navigateur externe, telle que Safari ou Google Chrome.
Cependant, bien que ces navigateurs intégrés à l’application soient basés sur le WebKit de Safari sur iOS, les développeurs peuvent les modifier pour exécuter leur propre code JavaScript. En conséquence, les utilisateurs sont plus susceptibles d’être suivis à leur insu. Par exemple, une application peut utiliser un navigateur intégré personnalisé pour collecter tous les clics sur une page Web, les entrées au clavier, le titre du site Web, etc.
Ces données peuvent être utilisées pour créer une empreinte numérique d’une personne. Dans la plupart des cas, les données collectées auprès des internautes sont utilisées à des fins de publicité ciblée. Krause note que la plate-forme ne peut pas détecter toutes les commandes JavaScript, mais elle donne toujours aux utilisateurs un meilleur aperçu des données que les applications collectent.
L’utilisation de l’outil InAppBrowser est assez simple. Tout d’abord, vous ouvrez une application que vous souhaitez analyser. Ensuite, vous partagez l’URL « https://InAppBrowser.com » quelque part dans l’application (vous pouvez l’envoyer en tant que DM à un ami). Appuyez sur le lien dans l’application pour l’ouvrir et obtenir un rapport sur les commandes JavaScript.
Krause a également testé l’outil avec certaines applications populaires afin que vous n’ayez pas à le faire. Par exemple, TikTok peut surveiller toutes les entrées au clavier et les pressions sur l’écran lorsque vous ouvrez une URL à l’aide du navigateur intégré à l’application. Pendant ce temps, Instagram peut même détecter toutes les sélections de texte sur les sites Web.
Bien sûr, le développeur note également que toutes les applications qui injectent du code JavaScript dans un navigateur intégré à l’application ne le font pas à des fins malveillantes, car JavaScript est à la base de nombreuses fonctionnalités Web. Vous pouvez trouver plus de détails à ce sujet sur le site Web de Krause.
Mise à jour : réponse de TikTok aux allégations de Krause
TikTok a contacté Netcost-security.fr de nous fournir une déclaration en réponse aux allégations de Krause. Selon l’entreprise, les rapports sont « incorrects et trompeurs ». Le réseau social axé sur les courtes vidéos note que le chercheur lui-même a déclaré que les codes JavaScript ne sont pas nécessairement utilisés à des fins malveillantes.
Les conclusions du rapport sur TikTok sont incorrectes et trompeuses. Le chercheur dit spécifiquement que le code JavaScript n’indique pas que notre application fait quoi que ce soit de malveillant, et admet qu’ils n’ont aucun moyen de savoir quel type de données notre navigateur intégré à l’application collecte. Contrairement aux affirmations du rapport, nous ne collectons pas les entrées de frappe ou de texte via ce code, qui est uniquement utilisé pour le débogage, le dépannage et la surveillance des performances.
Porte-parole de TikTok
Selon un porte-parole de TikTok, certains des codes utilisés comme exemples par le chercheur sont des entrées courantes et ne sont pas utilisés pour collecter ce que les utilisateurs saisissent dans l’application ou dans son navigateur intégré à l’application. Après tout, le code JavaScript est couramment utilisé pour le débogage, le dépannage et la surveillance des performances d’une page Web.
Le porte-parole de TikTok nous a également assuré que l’entreprise respecte les politiques de confidentialité présentées aux utilisateurs et que l’application ne collecte que les informations que les utilisateurs choisissent de partager.
Découvrez cette vidéo ci-dessous (en anglais) pour plus d’actualités Apple :
