
Krause a déclaré que le navigateur intégré à l'application de TikTok « s'abonne » à toutes les entrées du clavier pendant qu'un utilisateur interagit avec un site Web externe, y compris tous les détails sensibles tels que les mots de passe et les informations de carte de crédit, ainsi que chaque pression sur l'écran. Et de préciser que « quand je dis que "l'application s'abonne à", je veux dire que l'application s'abonne aux événements JavaScript de ce type (par exemple, toutes les frappes sur l'écran). Il n'y a aucun moyen de vérifier ce qui se passe avec les données ».
« D'un point de vue technique, cela équivaut à installer un enregistreur de frappe sur des sites Web tiers », a écrit Krause, à propos du code JavaScript que TikTok injecte. Cependant, le chercheur a ajouté que « ce n'est pas parce qu'une application injecte du JavaScript dans des sites Web externes que l'application fait quelque chose de malveillant ».
L'application de TikTok comprend un code qui pourrait permettre à l'entreprise de surveiller tout ce que les utilisateurs tapent lors de l'utilisation de l'application, même lorsqu'ils sont redirigés vers des sites Web tiers, ce qui permet à l'application de médias sociaux de voir des données sensibles telles que des mots de passe et des numéros de carte de crédit, selon un chercheur en sécurité qui estime qu'Apple devrait prendre des mesures pour résoudre le problème potentiel.
Felix Krause dit avoir découvert la capacité de TikTok à surveiller les données des utilisateurs grâce à sa fonction de navigation intégrée à l'application et a publié ses découvertes dans un billet de blog. Krause a trouvé un code qui a montré que TikTok a la capacité de surveiller toute frappe effectuée par un utilisateur - même lorsque cet utilisateur clique sur un lien qui le redirige vers un autre site Web. Bien que TikTok ait mis en place ce système, Krause prévient qu'il ne prouve pas nécessairement qu'ils utilisent ou même collectent ces données :

TikTok nie avoir collecté des données utilisateur sensibles
Dans une déclaration partagée avec Forbes, un porte-parole de TikTok a reconnu le code JavaScript en question, mais a déclaré qu'il n'est utilisé que pour le débogage, le dépannage et la surveillance des performances afin de garantir une « expérience utilisateur optimale » :
« Comme d'autres plateformes, nous utilisons un navigateur intégré à l'application pour offrir une expérience utilisateur optimale, mais le code Javascript en question n'est utilisé que pour le débogage, le dépannage et la surveillance des performances de cette expérience - comme vérifier la vitesse de chargement d'une page ou si elle plante », a déclaré la porte-parole Maureen Shanahan dans un communiqué.
TikTok nie avec véhémence avoir collecté les données. Lors d'une apparition sur CNN en juillet, le responsable politique de TikTok Americas, Michael Beckerman, a déclaré que TikTok « n'enregistre pas ce que vous tapez. C'est une mesure antispam et antifraude qui vérifie le rythme de la façon dont les gens tapent pour s'assurer que ce n'est pas un bot ou une autre activité malveillante ».
Krause rétorque que le pouvoir de collecter les données est toujours un danger : « Supposons que les affirmations de TikTok sont correctes et qu'ils ne collectent pas les données », a-t-il déclaré. « Ils prétendent qu'ils ne le font pas maintenant, mais cela pourrait potentiellement changer à l'avenir. Je ne dis pas que cela va arriver, mais c'est une option, et c'est un problème en soi ».
Selon le porte-parole de TikTok, le code JavaScript fait partie d'un kit de développement logiciel (SDK) que TikTok exploite, et les fonctions "keypress" et "keydown" mentionnées par Krause sont des entrées courantes que TikTok n'utilise pas pour l'enregistrement des frappes.
TikTok encore embarqué dans une actualité évoquant sa collecte excessive de données
Dans une déclaration à un autre média, un porte-parole de TikTok a semblé confirmer l'existence du code, mais a rejeté le rapport de Krause : « Les conclusions du rapport sur TikTok sont incorrectes et trompeuses. Le chercheur dit spécifiquement que le code JavaScript ne signifie pas que notre application fait quelque chose de malveillant, et admet qu'ils n'ont aucun moyen de savoir quel type de données notre navigateur intégré à l'application collecte. Contrairement aux affirmations du rapport, nous ne collectons pas les entrées de frappe ou de texte via ce code, qui est uniquement utilisé pour le débogage, le dépannage et la surveillance des performances », a déclaré un porte-parole de TikTok.
Rappelons que des chercheurs de la société australienne de cybersécurité Internet 2.0 ont publié une analyse approfondie de l'application de médias sociaux sur les appareils Android et Apple entre le 1er et le 12 juillet de cette année. Ils ont déterminé que « l'application mobile TikTok ne donne pas la priorité à la confidentialité » et disent qu'elle entreprend une « récolte excessive de données ».
Le rapport de 15 pages note certains cas où l'application vérifie l'emplacement de l'appareil au moins une fois par heure. Il indique que TikTok a un accès permanent au calendrier sur le téléphone de l'utilisateur.
Les chercheurs ont également découvert que l'application est capable d'évaluer toutes les autres applications en cours d'exécution sur le téléphone et de savoir quelles autres applications sont également installées sur l'appareil.
Internet 2.0 a a déclaré que bien que TikTok précise que les données des utilisateurs étaient stockées à Singapour et aux États-Unis, son analyse a révélé de nombreux sous-domaines dans l'application iOS résolus dans le monde entier, notamment*: Sydney, Adélaïde et Melbourne, New York, Las Vegas, San Francisco, San José, Monrovia, Cambridge, Kansas City, Dallas et Mountain View aux États-Unis, Utama et Jakarta en Indonésie, Kuala Lumpur en Malaisie, Paris, Singapour et Baishan en Chine.
« Au cours de l'analyse, nous n'avons pas pu déterminer avec une grande confiance le but de la connexion ou l'endroit où les données des utilisateurs sont stockées. La connexion au serveur chinois est gérée par Guizhou Baishan Cloud Technology, une société de cloud et de cybersécurité ».
S'adressant au quotidien australien ABC, Robert Potter d'Internet 2.0 a déclaré qu'il n'y avait aucune preuve spécifique que TikTok utilisait les vulnérabilités des applications pour réellement récolter des données. « Nous n'avons pas de visibilité sur ce qui est extrait exactement », a-t-il déclaré, précisant que « nous pouvons juste vous montrer ce que dit le code source et voir où les données sont envoyées... tout ce que nous pouvons dire, c'est que TikTok s'autorise à extraire les données ».
Internet 2.0 a également mis en évidence des inquiétudes concernant la version Apple de l'application avec une connexion serveur à la Chine continentale « qui est gérée par l'une des 100 meilleures sociétés chinoises de cybersécurité et de données, Guizhou Baishan Cloud Technology Co., Ltd. ».
Les chercheurs n'ont pas pu trouver une connexion similaire dans la version Android de l'application.
Robert Potter dit qu'il n'est pas clair quelles données, le cas échéant, sont envoyées en Chine. « Sous un examen attentif, nous l'avons vu se connecter à des serveurs du monde entier, y compris en Chine ».
Il a également noté que d'autres applications auront des liens de serveur vers la Chine, mais a affirmé que la société n'avait pas été totalement transparente dans le passé, avertissant que cela ne ferait qu'alimenter les inquiétudes concernant l'application.
TikTok a répondu aux allégations soulevées dans le rapport. Dans une déclaration au média australien Crikey, il a déclaré que « l'adresse IP est à Singapour, le trafic réseau ne quitte pas la région et il est catégoriquement faux de laisser entendre qu'il y a une communication avec la Chine ». « Les conclusions des chercheurs révèlent des malentendus fondamentaux sur le fonctionnement des applications mobiles et, de leur propre aveu, ils ne disposent pas de l'environnement de test approprié pour confirmer leurs affirmations sans fondement ».
Une solution de contournement
Krause a déclaré que les utilisateurs qui souhaitent se protéger de toute utilisation malveillante potentielle du code JavaScript dans les navigateurs intégrés devraient passer à l'affichage d'un lien donné dans le navigateur par défaut de la plateforme si possible, comme Safari sur iPhone et iPad.
« Chaque fois que vous ouvrez un lien depuis n'importe quelle application, voyez si l'application offre un moyen d'ouvrir le site Web actuellement affiché dans votre navigateur par défaut », a écrit Krause. « Au cours de cette analyse, toutes les applications autres que TikTok ont proposé un moyen de le faire ».
TikTok n'est pas la seule application concernée
Facebook et Instagram sont deux autres applications qui insèrent du code JavaScript dans des sites Web externes chargés dans leurs navigateurs intégrés, donnant aux applications la possibilité de suivre l'activité des utilisateurs, selon Krause. Dans un tweet, un porte-parole de la société mère de Facebook et Instagram, Meta, a déclaré que la société « a intentionnellement développé ce code pour honorer les choix des utilisateurs en matière de transparence du suivi des applications (ATT) sur nos plateformes ». « Ces affirmations déforment le fonctionnement du navigateur intégré à l'application Meta et de Pixel », a-t-il noté, indiquant que Meta a déjà communiqué avec le chercheur.
Krause a déclaré avoir créé un outil simple qui permet à quiconque de vérifier si un navigateur intégré à l'application injecte du code JavaScript lors du rendu d'un site Web. Le chercheur a déclaré que les utilisateurs doivent simplement ouvrir une application qu'ils souhaitent analyser, partager l'adresse InAppBrowser.com quelque part dans l'application (comme dans un message direct à une autre personne), appuyer sur le lien à l'intérieur de l'application pour l'ouvrir dans le navigateur intégré de l'application, et lire les détails du rapport affiché.
Krause estime qu'Apple est en partie responsable de la situation
Selon Krause, une partie de ce problème incombe à Apple, qui n'exige pas que les applications utilisent son navigateur Safari pour afficher des sites Web externes, bien qu'il le recommande. Krause a déclaré que les problèmes de sécurité seraient atténués si TikTok utilisait Safari au lieu de son propre navigateur intégré à l'application.
« Il existe des solutions qui permettront à TikTok d'afficher des sites Web dans leur application tout en assurant la sécurité des utilisateurs et en préservant leur vie privée », a-t-il déclaré.
Source : Felix Krause
Et vous ?

Vous avez lu gratuitement 542 articles depuis plus d'un an.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.