La polémique sur les navigateurs intégrés aux applications sur iOS enfle. Un développeur a prouvé que les applications pouvaient largement accéder à vos données, même vos mots de passe.
Depuis une semaine, une polémique enfle du côté de l’iPhone. Apple est connu pour mettre l’accent sur la sécurité et la confidentialité des données des utilisateurs. Mais voilà, une fonction assez commune des applications connectées comprend un vrai trou dans la raquette côté sécurité.
On a ainsi pu découvrir que le navigateur intégré aux applications Instagram et Facebook, qui s’ouvre en cliquant sur des liens, était en mesure de traquer vos faits et gestes, tant que vous restez dans ce navigateur. Tout cela sans le consentement de l’utilisateur et en dehors des règles mises en place par Apple sur le suivi des données.
Felix Krause, développeur émérite passé par Google et Twitter a pris l’affaire en main pour développer InAppBrowser. Il s’agit d’un site web à ouvrir avec le navigateur intégré de votre application préférée pour tester ce qu’elle injecte dans les commandes JavaScript. Il suffit de partager le lien vers le site InAppBrowser.com sur un réseau social comme TikTok ou Instagram, pour l’ouvrir avec l’application concernée.
On découvre ainsi que l’application TikTok injecte du code qui permet de suivre absolument toutes vos actions dans son navigateur. Elle peut ainsi lire tout ce que vous taperez au clavier, ce qui inclut vos mots de passe, et tous les « taps », c’est-à-dire les actions sur l’écran tactile.
Le réseau social a déjà répondu auprès de Forbes sur le sujet. La firme reconnait l’intégration de ces fonctions, mais promet de ne pas les utiliser.
Comme d’autres plateformes, nous utilisons un navigateur intégré à l’application pour offrir une expérience utilisateur optimale, mais le code JavaScript en question n’est utilisé que pour le débogage, le dépannage et le contrôle des performances de cette expérience, par exemple pour vérifier la vitesse de chargement d’une page ou l’absence de panne.
Comme d’autres plateformes, nous utilisons un navigateur intégré à l’application pour offrir une expérience utilisateur optimale, mais le code JavaScript en question n’est utilisé que pour le débogage, le dépannage et le contrôle des performances de cette expérience, par exemple pour vérifier la vitesse de chargement d’une page ou l’absence de panne.
Felix Krause précise que son outil n’est pas parfait. Il ne permet pas de tout détecter et notamment pas le code natif utilisé par ces services pour certains suivis. Cela veut dire que certains éléments traqués par les entreprises comme Facebook et TikTok ne sont pas détectés.
Par ailleurs, on ne peut en effet pas savoir comment les applications utilisent les données récoltées. Si elles sont utilisées uniquement pour du dépannage ou si les données sont récupérées pour être traitées.
Pour poser un problème pour la confidentialité des utilisateurs, les applications utilisent leur propre navigateur interne. D’autres font le choix d’utiliser une version intégrée du navigateur Safari appelé grâce à l’API SFSafariViewController. Ces applications sont donc hors de cause, elles ne peuvent pas intégrer de codes JavaScript dans Safari.
Dans la liste on peut mentionner Twitter, WhatsApp, Reddit, YouTube, Gmail, Twitch, Spotify, Microsoft Outlook, Teams et OneNote, Telegram, Slack et Signal.
D’autres applications qui sont mises en cause par l’outil de Felix Krause permettent à l’utilisateur de choisir entre le navigateur par défaut d’iOS et le navigateur interne de l’application.
Ceux qui se soucient de la sécurité de leurs données sont donc invités à désactiver le navigateur interne de l’application. C’est possible sur Instagram, Facebook Messenger, Facebook, Amazon et Snapchat notamment.
Comme le souligne Felix Krause, les développeurs d’applications qui posent un problème sur la question de la confidentialité peuvent tout à fait mettre à jour leurs applications pour masquer ces découvertes. Ils peuvent notamment détourner l’utilisation d’une API nommée WKContentWorld pour ne plus permettre de détecter les commandes JavaScript intégrées à leurs applications.
Il faudrait donc une nouvelle réglementation d’Apple autour des navigateurs internes pour corriger ces problèmes de confidentialité. La firme pourrait permettre l’utilisation de navigateur interne du moment que l’application envoi des liens interne à son service (TikTok.com dans le cas de TikTok par exemple), mais obliger l’utilisation de la vue Safari pour les liens externes.
Apple se place comme une championne de la vie privée. Il est clair que cette situation ne peut pas perdurer.
avec frandroide