Passer au contenu

TikTok : un bug permet à l’app de voir tous vos mots de passe sur iPhone

Après Facebook et Instagram, il apparaît que TikTok utilise aussi son propre système d’affichage de pages web intégré. Composant qui permet en prime de voir tous vos mots de passe en clair.

La semaine dernière nous apprenions que Meta contourne allègrement les règles Apple en matière de protection de la vie privée dans certaines applications. Habituellement, les applications qui souhaitent un système d’affichage de pages web intégré peuvent simplement implémenter WebKit – le seul moteur d’affichage des pages web autorisé sur iOS.

Mais les développeurs peuvent également modifier l’élément grâce à une faille – pour suivre avec une précision ahurissante les données analytiques de l’utilisateur. Ainsi Meta peut suivre très précisément la navigation internet de ses utilisateurs dès qu’ils cliquent dans un lien depuis l’application concernée.

TikTok a aussi un navigateur intégré un peu trop curieux sur iPhone

Or, Meta n’est visiblement pas la seule entreprise à contourner en douce les protections Apple. L’éditeur Bytedance est aussi, à en croire le chercheur Felix Kreuse, lui aussi “dans la danse” : le navigateur intégré à TikTok permet aux développeurs de suivre tout ce que fait l’utilisateur dans l’application.

L’élément permet même de lire tout ce qui est tapé au clavier, un peu à la manière d’un keylogger. En conséquence, il devient possible à TikTok de lire tous les mots de passe en clair. Bytedance a déjà réagi sur cette polémique dans les colonnes de Forbes. Voici ce que dit la firme :

“Comme d’autres plateformes, nous utilisons un navigateur internet intégré de manière à délivrer une expérience utilisateur améliorée. Le code JavaScript en question [mis à l’index par le chercheur Felix Kreuse” n’est là qu’à des fins de déboguage, recherche de solutions et suivi des performances de cette expérience – ce qui par exemple permet d’obtenir le temps de chargement des pages ou savoir s’il y a des crashes”, explique un responsable de la firme.

Et il faut souligner que TikTok et Meta ne sont que la partie émergée de l’iceberg. C’est pourquoi Felix Krause a mis en ligne un outil, sous la forme du site InAppBrowser.com qui permet de détecter à quel point le navigateur intégré d’une application. Pour l’utiliser, il suffit de s’envoyer à soi-même le lien vers InAppBrowser.com, et l’ouvrir depuis l’application que vous souhaiter tester.

Tout n’est pas encore détecté par l’outil, mais cela a le mérite d’établir un premier diagnostic. Felix Kreuse recommande par ailleurs de contourner autant que possible les navigateurs intégrés à ces applications – faute d’une solution pour désactiver cette fonctionnalité. Pour l’heure, si vous souhaitez contourner le navigateur intégré d’applications comme Instagram, Facebook ou TikTok, il est nécessaire de faire un appui long sur chaque lien.

Lire aussi – Les hôpitaux chinois sous la propriété de TikTok (une réalité)

Une fois que le menu s’affiche, copiez le lien – puis ouvrez séparément une instance de Safari, Chrome ou de votre navigateur de prédilection. Collez le lien et appuyez sur Entrée pour visiter la page. On s’attend à ce que Apple intervienne pour rapidement corriger le problème, mais en attendant, il s’agit de la seule solution pour réellement empêcher le suivi et protéger vos données personnelles.

📍 Pour ne manquer aucune actualité de Presse-citron, suivez-nous sur Google Actualités et WhatsApp.

TikTok
TikTok
Par : TikTok Pte. Ltd.
4.5 / 5
20,8 M avis
1 commentaire
1 commentaire
Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *