Selon le chercheur en sécurité Felix Krause, le navigateur intégré à l’application TikTok sur iOS injecte du code JavaScript dans des sites Web externes qui permet à l’application de surveiller « toutes les entrées et touches au clavier » effectuées par l’utilisateur lors de l’interaction sur un site particulier.

TikTok, navigateur Web

TikTok a expliqué que le code n’est pas utilisé pour des raisons malveillantes, mais apparemment, son navigateur intégré à l’application enregistre toutes les entrées au clavier lorsqu’un utilisateur interagit avec un site Web externe, y compris des détails sensibles comme les mots de passe et les informations de carte de crédit, ainsi que chaque touche sur l’écran.

« D’un point de vue technique, cela équivaut à installer un enregistreur de frappe sur des sites Web tiers », a écrit Krause à propos du code JavaScript injecté par TikTok. Cependant, le chercheur a ajouté que « ce n’est pas parce qu’une application injecte du JavaScript dans des sites Web externes que l’application fait quelque chose de malveillant ».

Dans une déclaration partagée avec Forbes, un porte-parole de TikTok a reconnu l’existence du code JavaScript en question, mais a déclaré qu’il n’est utilisé que pour le débogage, le dépannage et la surveillance des performances afin de garantir une expérience utilisateur optimale.

« Comme d’autres plates-formes, nous utilisons un navigateur intégré à l’application pour offrir une expérience utilisateur optimale, mais le code Javascript en question n’est utilisé que pour le débogage, le dépannage et la surveillance des performances de cette expérience, comme la vérification de la vitesse de chargement d’une page ou si elle se bloque. »

Krause a déclaré que les utilisateurs qui souhaitent se protéger de toute utilisation malveillante potentielle du code JavaScript dans les navigateurs intégrés à l’application devraient passer à l’affichage d’un lien particulier sur Safari : « Chaque fois que vous ouvrez un lien depuis n’importe quelle application, vérifiez si l’application offre un moyen de ouvrez le site Web dans votre navigateur par défaut. La plupart des applications offrent un moyen de le faire. »

Facebook et Instagram sont deux autres applications qui injectent du code JavaScript dans des sites Web externes chargés dans leurs navigateurs intégrés, donnant aux applications la possibilité de suivre l’activité des utilisateurs, a rapporté Krause. Dans un tweet, un porte-parole de Meta a déclaré que la société « a intentionnellement développé ce code pour se conformer aux exigences de la transparence du suivi des applications (ATT) sur nos plateformes ».

Krause a également créé un outil simple qui permet à quiconque de vérifier si un navigateur intégré à l’application injecte du code JavaScript lors du rendu d’un site Web. Les utilisateurs qui souhaitent le faire doivent simplement ouvrir l’application qu’ils souhaitent analyser, partager une adresse quelque part dans l’application (par exemple, dans un message direct à une autre personne), appuyez sur le lien dans l’application pour l’ouvrir dans le navigateur intégré à l’application et lisez les détails du rapport.

Apple n’a pas répondu aux demandes de commentaires sur la question.

Partager un commentaire