Parmi les applications qui accèdent inutilement aux données du presse-papiers, il y a aussi TikTok, qui n’a théoriquement aucune justification fonctionnelle pour ce type d’accès.

Comme expliqué ces derniers jours, les applications sur iOS ont un accès illimité aux données copiées ou coupées dans le presse-papiers. En pratique, lorsqu’un utilisateur copie une image ou un texte, l’application peut immédiatement voir son contenu et les métadonnées associées telles que l’emplacement où la photo a été prise. Même les widgets installés sur iOS peuvent collecter en silence les données copiées dans le presse-papiers, à l’insu de l’utilisateur. Apple a fait savoir qu’elle ne considère pas cette procédure comme un risque pour la sécurité et qu’il s’agit d’un comportement attendu, même lorsque l’accès à ces données sont des applications qui, en théorie, n’ont pas de fonctions liées au presse-papiers.

Ces applications incluent également des titres bien connus tels que TikTok, Accuweather, Truecaller, Overstock et bien d’autres.

Les développeurs Tommy Mysk et Talal Haj Bakry ont utilisé les lignes de commande Xcode pour analyser le comportement des applications et ont publié une vidéo de leurs résultats.

La recherche ne suggère pas que ces applications font quelque chose de nocif avec ces données, mais en fait, elles peuvent y accéder et lire les notes copiées par les utilisateurs, même dans le cas des images.

Cette méthode peut être utilisée pour lire des informations sensibles copiées par les utilisateurs, telles que les numéros de carte de crédit ou les mots de passe en texte brut. Si un utilisateur copie une image dans sa pellicule, elle peut également inclure des métadonnées avec des positions ou des coordonnées spécifiques.

Les deux développeurs soutiennent qu’Apple devrait agir pour supprimer la vulnérabilité car il serait trivial de créer un code malveillant pouvant lire ces données en secret.

Partager un commentaire