La polémique sur les navigateurs intégrés aux applications sur iOS enfle. Un développeur a prouvé que les applications pouvaient largement accéder à vos données, même vos mots de passe.
Depuis une semaine, une polémique enfle du côté de l’iPhone. Apple est connu pour put the accent on the security and the confidentiality of the women of the utilisateurs. Mais voilà, une fonction axisz common des applications connectées including a vrai trou dans la raquette côté sécurité.
On a ainsi pu découvrir que le navigateur intégré aux applications Instagram et Facebook, qui s’ouvre en cliquant sur des liens, était en mesure de traquer vos faits et gestes, tant que vous restez dans ce navigateur. Tout conceals without the permission of the user and dehors des règles mises en place par Apple sur le suivi des données.
Un développeur dévoile l’étendue du problème
Felix Krause, développeur émérite passé par Google et Twitter a pris affaire en main pour développer InAppBrowser. The s’agit d’un site web à ouvrir avec le navigateur intégré de your application préférée for tester who qu’elle injecte dans les commandes JavaScript. The suffit de partager le lien vers le site InAppBrowser.com on a social réseau like TikTok or Instagram, pour l’ouvrir with the application concernée.
On découvre ainsi que the application TikTok injecte du code qui permet de suivre absolument toutes vos actions dans son navigateur. Elle peut ainsi lire tout ce que vous taperez au clavier, ce qui inclut vos mots de passe, et tous les « tapsC’est-à-dire les actions sur l’écran tactile.
Le réseau social a déjà répondu auprès de Forbes sur le sujet. La firme reconnait the intégration de ces fonctions, ma promet de ne pas les utiliser.
Comme d’autres plateformes, nous utilisons un navigateur intégré à l’application pour offer une expérience utilisateur optimale, mais le code JavaScript en question n’est utilisé que pour le débogage, le dépannage et le contrôle des performances de cette expérience, par exemple pour vérifier la vitesse de chargement d’une page ou the absence de panne.
Felix Krause précise que son outil n’est pas parfait. The ne permet pas de tout détecter et notamment pas le code natif utilisé par ces services pour certains suivis. Cela veut dire que certains éléments traqués par les entreprises like Facebook et TikTok ne sont pas détectés.
Par ailleurs, on ne peut en effet pas savoir comment on applications utilisent les données récoltées. Yes elles sont utilisées uniquement pour du dépannage ou si les données sont récupérées pour être traitées.
The applications qui ne posent pas de problèmes
Pour poser a problem for the confidentiality of the utilisateurs, the applications utilisent leur propre internal navigators. D’autres font le choix d’utiliser une version intégrée du navigateur Safari appelé grâce à l’APISFSafariViewController. Ces applications sont donc hors de cause, elles ne peuvent pas intégrer de JavaScript codes in Safari.
Dans la lists on peut mentionner Twitter, WhatsApp, Reddit, YouTube, Gmail, Twitch, Spotify, Microsoft Outlook, Teams et OneNote, Telegram, Slack et Signal.
Désactiver the internal navigators
D’autres applications here sont mises en cause par l’outil de Felix Krause permitting the user to choose between the navigators par defaults of iOS and the internal navigators of the application.
Ceux here if you know the security of the women who are not invited to désactiver the internal navigators of the application. C’est possible on Instagram, Facebook Messenger, Facebook, Amazon et Snapchat notamment.
Apple doit réagir
Like the souligne Felix Krause, the developers of applications here posent a problem on the question of the confidentiality peuvent tout à fait putre à jour leurs applications pour masquer ces découvertes. Ils peuvent notamment détourner the utilization of an API nommée WKContentWorld for ne plus permitting de détecter les commandes JavaScript intégrées à leurs applications.
The faudrait donc une nouvelle réglementation d’Apple autour des navigateurs internes pour corriger ces problèmes de confidentialité. La firme pourrait allows the utilization of internal navigators du moment que the application envoi des liens intern à son service (TikTok.com dans le cas de TikTok par exemple), but obliger the utilization of the vue Safari pour les liens externes.
Apple se place comme une championne de la vie privée. Il est clair que cette situation ne peut pas perdurer.
Pour nous suivre, nous vous invitons à télécharger our Android and iOS application. Vous pourrez y lire nos articles, dossiers, et regarder nos dernières vidéos YouTube.
