En mars, deux développeurs ont révélé que des applications dans iOS 13.3 pouvaient lire votre presse-papiers iOS sans autorisation. Dans un billet de blog, Tommy Mysk et Talal Haj Bakry ont utilisé Xcode pour analyser le comportement d'une cinquantaine d'applications, avec des résultats surprenants.Le presse-papiers iOS ou iPadOS est l'endroit où les informations que vous copiez et collez sont stockées pendant que vous les utilisez. Si vous copier quoi que ce soit sur votre iPhone ou iPad, comme du texte, un message d'un ami, un mot de passe ou un numéro de carte de crédit, il est stocké dans votre presse-papiers jusqu'à ce que vous l'utilisiez.
« Nous avons exploré les applications figurant parmi les plus populaires disponibles sur l'App Store et observé leur comportement à l'aide des outils de développement Apple standard. Les résultats montrent que de nombreuses applications accèdent fréquemment à la table de montage et lisent son contenu sans le consentement de l'utilisateur, mais uniquement des données textuelles ».
L’une des applications incriminées est le célèbre Tik Tok.
Selon Mysk, « l'exploit fonctionne avec tous les types de données tels que du texte, des photos ou des documents PDF. Étonnamment, les applications que nous avons testées ont uniquement choisi de lire du texte, mais ignorent les autres types de données tels que les photos ou les documents PDF. En d'autres termes, toutes les applications que nous avons répertoriées dans notre blog sont uniquement intéressées par la lecture de texte dans le presse-papiers ».
Et de préciser que « l'accès au presse-papiers dans iOS et iPadOS ne nécessite aucune autorisation d'application depuis iOS 13.3. Bien que le presse-papiers offre la facilité de partager des données entre diverses applications, il présente un risque d'exposer des données privées et personnelles à des applications suspectes. Nous avons étudié de nombreuses applications populaires dans l'App Store et constaté qu'elles accèdent fréquemment au presse-papiers à l'insu de l'utilisateur. Notre enquête confirme que de nombreuses applications populaires lisent le contenu textuel du presse-papiers. Cependant, ce que les applications font avec les données n'est pas clair. Pour empêcher les applications d'exploiter le presse-papiers, Apple doit agir ».
Une demande qui n’est pas tombée dans les oreilles d’un sourd. En effet, attendu pour l'automne, iOS 14 est actuellement en version bêta, et cette dernière intègre une fonction de sécurité qui permet d'alerter l'utilisateur lorsqu'une application a un comportement douteux ou dangereux. En l'occurrence, iOS 14 détecte les applications qui ont accès au presse-papier.
TikTok, qui avait promis en mars dernier d’arrêter, a été pris en train de vérifier le presse-papiers toutes les deux à trois frappes.
Face au tollé que cette découverte a provoqué, TikTok est sorti de son silence et a indiqué avoir déjà envoyé une mise à jour vers l’App Store, en attente de validation. La fonction a été décrite comme une mesure « anti-spam », sans que l’on n’en sache plus, assurant que dans la mise à jour la fonctionnalité a été supprimée :
« Après la sortie de la version bêta d'iOS14 le 22 juin, les utilisateurs ont vu des notifications lorsqu'ils utilisaient un certain nombre d'applications populaires. Pour TikTok, cela a été déclenché par une fonctionnalité conçue pour identifier les comportements de spam répétitifs. Nous avons déjà soumis une version mise à jour de l'application à l'App Store en supprimant la fonction anti-spam pour éliminer toute confusion potentielle.
« TikTok s'engage à protéger la confidentialité des utilisateurs et à être transparent sur le fonctionnement de notre application. Nous sommes impatients d'accueillir des experts externes dans notre Centre de transparence plus tard cette année. »
Le duo des développeurs à l’origine de la découverte a estimé que la réponse de TikTok est logique, notant tout de même qu’il existe des moyens plus efficaces et moins intrusifs de vérifier efficacement le spam, et que tout développeur compétent ne lirait pas le presse-papiers toutes les deux ou trois frappes pour vérifier si le texte entré correspondait au presse-papiers. En effet, une ancienne API existe déjà que les développeurs peuvent utiliser pour vérifier spécifiquement si un utilisateur a collé du texte dans un champ de texte.
Ils ont également noté que la nouvelle fonctionnalité de notification d'Apple est peut-être si effrayante (peut-être même délibérément) que les...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.
