Le navigateur intégré de TikTok peut suivre les frappes des utilisateurs : Recherche

Un chercheur en cybersécurité indépendant a averti que l’application chinoise de vidéos courtes, TikTok, injecte apparemment du code JavaScript dans tous les liens ouverts via son navigateur intégré sur iOS, ce qui peut suivre toutes les frappes sur une page web.

Le chercheur, Felix Krause, fondateur de l’entreprise de test d’applications Fastlane, qui a été acquise par Google il y a cinq ans, a déclaré que lorsque l’utilisateur ouvre un lien dans l’application TikTok sur iOS, il s’ouvre à l’intérieur de leur navigateur intégré.

« Pendant que vous interagissez avec le site web, TikTok s’abonne à toutes les entrées clavier (y compris les mots de passe, les informations de carte de crédit, etc.) et chaque tap sur l’écran, comme les boutons et les liens sur lesquels vous cliquez », avertit Krause dans un article de blog détaillant les résultats.

TikTok iOS s’abonne à chaque frappe (entrées de texte) se produisant sur des sites tiers, qui sont rendus à l’intérieur de l’application de médias sociaux, a-t-il ajouté. Cela peut inclure des mots de passe, des informations de carte de crédit et d’autres données sensibles des utilisateurs (keypress et keydown).

D’un point de vue technique, cela équivaut à installer un keylogger sur des sites tiers, a déclaré Krause.

« C’était un choix actif fait par l’entreprise. C’est une tâche d’ingénierie non triviale. Cela ne se produit pas par erreur ou au hasard », a-t-il ajouté.

TikTok iOS s’abonne à chaque tap sur n’importe quel bouton, lien, image ou autre composant sur des sites web rendus à l’intérieur de l’application TikTok. Il utilise une fonction JavaScript pour obtenir des détails sur l’élément sur lequel l’utilisateur a cliqué, comme une image (document.elementFromPoint).

Krause, cependant, souligne soigneusement que juste parce qu’il a découvert que TikTok s’abonne à chaque frappe qu’un utilisateur effectue sur des sites tiers vus à l’intérieur de son navigateur intégré, cela ne signifie pas nécessairement qu’il fait « quelque chose de malveillant » avec l’accès - car il n’a pas pu déterminer si les frappes étaient activement suivies par TikTok et si les données étaient envoyées à TikTok.

Pour éviter un suivi potentiel, le chercheur recommande d’ouvrir des liens dans le navigateur par défaut de la plateforme si possible, comme Safari sur l’iPhone et l’iPad ou Chrome, si vous utilisez un appareil Android.

« Chaque fois que vous ouvrez un lien depuis une application, voyez si l’application offre un moyen d’ouvrir le site web actuellement affiché dans votre navigateur par défaut », a écrit Krause. « Pendant cette analyse, chaque application à part TikTok a offert un moyen de le faire. »

Bien qu’un porte-parole de TikTok ait reconnu le code JavaScript en question, il a nié que l’entreprise l’utilise dans son navigateur intégré sur l’application iOS.

Le porte-parole a accusé Krause de faire des déclarations « incorrectes et trompeuses » sur l’application et a ajouté que le code JavaScript en question est utilisé uniquement pour le débogage, le dépannage et la surveillance des performances.

« Le chercheur dit spécifiquement que le code JavaScript ne signifie pas que notre application fait quoi que ce soit de malveillant, et admet qu’il n’a aucun moyen de savoir quel type de données notre navigateur intégré collecte », a déclaré le porte-parole.

« Contrairement aux affirmations du rapport, nous ne collectons pas les frappes ou les entrées de texte via ce code, qui est uniquement utilisé pour le débogage, le dépannage et la surveillance des performances. »

L’entreprise a ajouté que le code fait partie d’un kit de développement logiciel tiers, ou SDK, utilisé par son application, et comprend des fonctionnalités que TikTok n’utilise pas.

En plus de TikTok, Krause a également examiné la collecte de données des navigateurs intégrés par des entreprises telles que Meta, le propriétaire d’Instagram et de Facebook. Dans un tweet, un porte-parole de Meta a déclaré que l’entreprise « a intentionnellement développé ce code pour honorer les choix de transparence de suivi des applications (ATT) des personnes sur nos plateformes. »