Le navigateur intégré à l’application de TikTok pourrait être un enregistreur de frappe, prévient l’analyse de la confidentialité – Metaverse Marketing

« Méfiez-vous des navigateurs intégrés à l’application » est une bonne règle de base pour tout utilisateur d’application mobile soucieux de la confidentialité – étant donné la possibilité pour une application de tirer parti de son emprise sur l’attention de l’utilisateur pour espionner ce que vous regardez via le logiciel de navigation qu’elle contrôle également. Mais les sourcils se lèvent sur le comportement du navigateur intégré à l’application de TikTok après des recherche sur la confidentialité par le développeur Felix Krause a découvert que l’application iOS du réseau social injectait du code qui pourrait lui permettre de surveiller toutes les entrées et pressions du clavier. Aka, enregistrement de frappe.

« TikTok iOS s’abonne à chaque frappe (entrées de texte) qui se produit sur des sites Web tiers rendus dans l’application TikTok. Cela peut inclure des mots de passe, des informations de carte de crédit et d’autres données utilisateur sensibles », prévient Krause dans un article de blog détaillant les conclusions. « Nous ne pouvons pas savoir à quoi TikTok utilise l’abonnement, mais d’un point de vue technique, c’est l’équivalent d’installer un keylogger sur des sites Web tiers. [emphasis his]

Après la publication un rapport la semaine dernière – concentré sur le potentiel des applications Metaverse Marketingverse Marketing et Metaverse Marketingverse Marketing iOS de Metaverse Marketing pour suivre les utilisateurs de leurs navigateurs intégrés à l’application – Krause a poursuivi en lançant un outil, appelé InAppBrowser.com, qui permet aux utilisateurs d’applications mobiles d’obtenir des détails sur le code injecté par les navigateurs intégrés à l’application en répertoriant les commandes JavaScript exécutées par l’application lors de l’affichage de la page. (NB : Il avertit que l’outil ne répertorie pas nécessairement toutes les commandes JavaScript exécutées et qu’il ne peut pas détecter le suivi qu’une application pourrait effectuer à l’aide de code natif. Au mieux, il offre donc un aperçu des activités potentiellement sommaires.)

Lire Plus  L'administrateur de Biden dit qu'environ 20 modèles seront toujours éligibles aux crédits d'impôt pour les véhicules électriques - Metaverse Marketing

Krause a utilisé l’outil pour produire une brève analyse comparative d’un certain nombre d’applications majeures qui semblent placer TikTok en tête des comportements préoccupants vis-à-vis des navigateurs intégrés à l’application – en raison de l’étendue des entrées, il a été identifié en s’abonnant à; et le fait qu’il n’offre pas aux utilisateurs la possibilité d’utiliser un navigateur mobile par défaut (c’est-à-dire plutôt que son propre navigateur intégré à l’application) pour ouvrir des liens Web. Ce dernier signifie qu’il n’y a aucun moyen d’éviter le chargement du code de suivi de TikTok si vous utilisez son application pour afficher les liens – la seule option pour éviter ce risque de confidentialité est de couper complètement son application et d’utiliser un navigateur mobile pour charger directement le lien ( et si vous ne pouvez pas le copier-coller, vous devrez être capable de vous souvenir de l’URL pour le faire).

Krause prend soin de souligner que ce n’est pas parce qu’il a découvert que TikTok s’abonne à chaque frappe qu’un utilisateur effectue sur des sites tiers affichés dans son navigateur intégré à l’application qu’il fait « quelque chose de malveillant » avec l’accès – comme il le note tIl n’y a aucun moyen pour les étrangers de connaître tous les détails sur le type de données collectées ou comment ou si elles sont transférées ou utilisées. Mais, clairement, le comportement lui-même soulève des questions et des risques pour la vie privée des utilisateurs de TikTok.

Nous avons contacté TikTok au sujet du code de suivi qu’il injecte dans des sites tiers et nous mettrons à jour ce rapport avec toute réponse.

Lire Plus  Les organisations à but non lucratif réalisent des économies importantes sur les laissez-passer à prix réduit pour TC Disrupt – Métaverse Marketing

Les applications appartenant à la méta Metaverse Marketingverse Marketing, Metaverse Marketingverse Marketing et FB Messenger ont également été trouvées par Krause pour modifier des sites tiers chargés via leurs navigateurs intégrés à l’application – avec des commandes « potentiellement dangereuses », comme il le dit – et nous avons également approché la technologie géant pour une réponse aux conclusions.

La confidentialité et la protection des données sont réglementées dans l’Union européenne, par des lois telles que le règlement général sur la protection des données et la directive ePrivacy, de sorte que tout suivi des utilisateurs dans la région qui ne dispose pas d’une base juridique appropriée pourrait entraîner une sanction réglementaire.

Les deux géants des médias sociaux ont déjà fait l’objet de diverses procédures, enquêtes et mesures d’application de l’UE concernant la confidentialité, les données et la protection des consommateurs ces dernières années – avec un certain nombre d’enquêtes en cours et des décisions majeures imminentes.

Krause avertit que l’examen public des injections de code de suivi JavaScript du navigateur intégré sur iOS est susceptible d’encourager les mauvais acteurs à mettre à jour leur logiciel pour rendre ce code indétectable pour les chercheurs externes – en exécutant leur code JavaScript dans le « contexte d’un cadre et d’un monde de contenu spécifiés» (alias WKContentWorld), qu’Metaverse Marketingverse Marketing fournit depuis iOS 14.3 ; introduire la disposition comme une mesure anti-empreintes digitales et ainsi les opérateurs de sites Web ne peuvent pas interférer avec le code JavaScript des plugins de navigateur (mais la technologie est évidemment une arme à double tranchant dans le contexte de l’obscurcissement du suivi) – arguant qu’il est donc « plus important que trouver une solution pour mettre fin à l’utilisation de navigateurs intégrés personnalisés pour afficher du contenu tiers ».

Lire Plus  Pas d'argent pour les étagères • Metaverse Marketing

Malgré certains comportements préoccupants identifiés dans les applications mobiles fonctionnant sur iOS, la plate-forme d’Metaverse Marketingverse Marketing est généralement présentée comme plus sûre pour la confidentialité que l’alternative au système d’exploitation mobile Metaverse Marketingverse Marketing, Android – et il convient de noter que les applications qui suivent la recommandation d’Metaverse Marketingverse Marketing d’utiliser Safari (ou SFSafariViewController) pour la visualisation de sites Web externes ont été trouvés par Krause comme étant « du bon côté » – y compris Gmail, Metaverse Marketingverse Marketing, WhatsApp et bien d’autres – comme il le dit, la méthode recommandée par Cupertino signifie qu’il n’y a aucun moyen pour les applications d’injecter du code sur des sites Web, y compris en déployant le système JavaScript isolé susmentionné (qui pourrait autrement être utilisé pour obscurcir le code de suivi).