« Méfiez-vous des navigateurs intégrés à l’application » est une bonne règle de base pour tout utilisateur d’application mobile soucieux de la confidentialité – étant donné la possibilité pour une application de tirer parti de son emprise sur l’attention de l’utilisateur pour espionner ce que vous regardez via le logiciel de navigation qu’elle contrôle également. Mais le comportement du navigateur intégré à l’application de TikTok soulève des sourcils après que des recherches indépendantes sur la confidentialité menées par le développeur Felix Krause ont découvert que l’application iOS du réseau social injectait du code qui pourrait lui permettre de surveiller toutes les entrées et pressions du clavier. Aka, enregistrement de frappe.
« TikTok iOS s’abonne à chaque frappe (entrées de texte) qui se produit sur des sites Web tiers rendus dans l’application TikTok. Cela peut inclure des mots de passe, des informations de carte de crédit et d’autres données utilisateur sensibles », prévient Krause dans un article de blog détaillant les résultats. « Nous ne pouvons pas savoir à quoi TikTok utilise l’abonnement, mais d’un point de vue technique, c’est l’équivalent d’installer un keylogger sur des sites Web tiers. [emphasis his]
Après avoir publié un rapport la semaine dernière – axé sur le potentiel des applications Facebook et Instagram iOS de Meta pour suivre les utilisateurs de leurs navigateurs intégrés – Krause a poursuivi en lançant un outil, appelé InAppBrowser.com, qui permet aux utilisateurs d’applications mobiles d’obtenir des détails sur le code. qui est injecté par les navigateurs intégrés à l’application en répertoriant les commandes JavaScript exécutées par l’application lors de l’affichage de la page. (NB : Il avertit que l’outil ne répertorie pas nécessairement toutes les commandes JavaScript exécutées et qu’il ne peut pas détecter le suivi qu’une application pourrait effectuer à l’aide de code natif. Au mieux, il offre donc un aperçu des activités potentiellement sommaires.)
Krause a utilisé l’outil pour produire une brève analyse comparative d’un certain nombre d’applications majeures qui semblent placer TikTok en tête des comportements préoccupants vis-à-vis des navigateurs intégrés à l’application – en raison de l’étendue des entrées, il a été identifié en s’abonnant à; et le fait qu’il n’offre pas aux utilisateurs la possibilité d’utiliser un navigateur mobile par défaut (c’est-à-dire plutôt que son propre navigateur intégré à l’application) pour ouvrir des liens Web. Ce dernier signifie qu’il n’y a aucun moyen d’éviter le chargement du code de suivi de TikTok si vous utilisez son application pour afficher les liens – la seule option pour éviter ce risque de confidentialité est de couper complètement son application et d’utiliser un navigateur mobile pour charger directement le lien ( et si vous ne pouvez pas le copier-coller, vous devrez être capable de vous souvenir de l’URL pour le faire).
Krause prend soin de souligner que ce n’est pas parce qu’il a découvert que TikTok s’abonne à chaque frappe qu’un utilisateur effectue sur des sites tiers affichés dans son navigateur intégré à l’application qu’il fait « quelque chose de malveillant » avec l’accès – comme il le note tIl n’y a aucun moyen pour les étrangers de connaître tous les détails sur le type de données collectées ou comment ou si elles sont transférées ou utilisées. Mais, clairement, le comportement lui-même soulève des questions et des risques pour la vie privée des utilisateurs de TikTok.
Nous avons contacté TikTok au sujet du code de suivi qu’il injecte dans des sites tiers et nous mettrons à jour ce rapport avec toute réponse.
Mise à jour: Un porte-parole de la société a maintenant envoyé cette déclaration :
Les conclusions du rapport sur TikTok sont incorrectes et trompeuses. Le chercheur dit spécifiquement que le code JavaScript ne signifie pas que notre application fait quoi que ce soit de malveillant, et admet qu’ils n’ont aucun moyen de savoir quel type de données notre navigateur intégré à l’application collecte. Contrairement aux affirmations du rapport, nous ne collectons pas les entrées de frappe ou de texte via ce code, qui est uniquement utilisé pour le débogage, le dépannage et la surveillance des performances.
TikTok soutient que les entrées « keypress » et « keydown » identifiées par Krause sont des entrées communes – affirmant qu’il est incorrect de faire des hypothèses sur leur utilisation en se basant uniquement sur le code mis en évidence par la recherche.
Pour étayer cela, le porte-parole a pointé du même code non TikTok de GitHub qui, selon eux, déclencherait exactement la même réponse citée par la recherche comme preuve d’une collecte de données incorrecte, mais est plutôt utilisée pour déclencher une commande connue sous le nom de ‘StopListening ‘ qui, selon eux, empêcherait spécifiquement une application de capturer ce qui est tapé.
Ils ont en outre affirmé que le code JavaScript mis en évidence par la recherche est utilisé uniquement pour le débogage, le dépannage et la surveillance des performances du navigateur intégré à l’application afin d’optimiser l’expérience utilisateur, par exemple pour vérifier la rapidité de chargement d’une page ou si elle se bloque. Et a déclaré que le JavaScript en question fait également partie d’un SDK qu’il utilise – affirmant en outre que le simple fait qu’un certain code existe ne signifie pas que l’entreprise l’utilise. Le porte-parole a également souligné la distinction entre les autorisations permettant aux applications d’accéder à certaines catégories d’informations sur l’appareil d’un utilisateur (alias, « invoquer ») comme s’opposant à la collecte ou au traitement des données conformément aux politiques de l’App Store – suggérant de nombreux éléments associés aux catégories d’informations en question peuvent être analysées localement sur l’appareil sans que les informations elles-mêmes ne soient jamais collectées par TikTok.
Le porte-parole de TikTok nous a également dit qu’il n’offrait pas aux utilisateurs la possibilité de ne pas utiliser son navigateur intégré à l’application, car cela nécessiterait de les diriger en dehors de l’application, ce qui, selon eux, rendrait l’expérience maladroite et moins fluide.
Ils ont également réitéré un démenti public antérieur de TikTok selon lequel il s’engage dans l’enregistrement des frappes (c’est-à-dire la capture de contenu), mais a suggéré qu’il pourrait utiliser les informations de frappe pour détecter des modèles ou des rythmes inhabituels, par exemple si chaque lettre tapée est exactement 1 touche par seconde, pour aider protéger contre les fausses connexions, les commentaires de type spam ou tout autre comportement susceptible de menacer l’intégrité de sa plate-forme.
Le porte-parole de TikTok a poursuivi en suggérant que le niveau de collecte de données dans lequel il s’engage s’apparente à d’autres applications qui collectent également des informations sur ce que les utilisateurs recherchent dans l’application pour pouvoir recommander un contenu pertinent et personnaliser le service.
Ils ont confirmé que les utilisateurs qui parcourent le contenu Web dans son application sont suivis pour une personnalisation similaire, par exemple pour sélectionner des vidéos pertinentes à afficher dans leur flux For You. TikTok peut également collecter des données sur l’activité des utilisateurs ailleurs, sur les applications et les sites Web des annonceurs, lorsque ces sociétés tierces choisissent de partager ces données avec lui, ont-ils en outre noté.
Les applications appartenant à la méta Instagram, Facebook et FB Messenger ont également été trouvées par Krause pour modifier des sites tiers chargés via leurs navigateurs intégrés à l’application – avec des commandes « potentiellement dangereuses », comme il le dit – et nous avons également approché la technologie géant pour une réponse aux conclusions.
La confidentialité et la protection des données sont réglementées dans l’Union européenne, par des lois telles que le règlement général sur la protection des données (GDPR) et la directive ePrivacy, de sorte que tout suivi des utilisateurs dans la région qui ne dispose pas d’une base juridique appropriée pourrait entraîner une sanction réglementaire.
Les deux géants des médias sociaux ont déjà fait l’objet de diverses procédures, enquêtes et mesures d’application de l’UE concernant la confidentialité, les données et la protection des consommateurs ces dernières années – avec un certain nombre d’enquêtes en cours et des décisions majeures imminentes.
Mise à jour: La Commission irlandaise de protection des données, qui est le principal régulateur de la protection des données pour Meta et TikTok dans le cadre du RGPD en Europe, a déclaré à TechCrunch qu’elle avait demandé une réunion avec Meta à la suite des reportages de la semaine dernière sur le problème JavaScript. Il a également déclaré qu’il s’engagerait avec TikTok sur la question.
Krause avertit que l’examen public des injections de code de suivi JavaScript dans le navigateur intégré à l’application sur iOS est susceptible d’encourager les mauvais acteurs à mettre à jour leur logiciel pour rendre ce code indétectable pour les chercheurs externes – en exécutant leur code JavaScript dans le « contexte d’un cadre et d’un contenu spécifiés ». world » (alias WKContentWorld), fourni par Apple depuis iOS 14.3 ; introduire la disposition comme une mesure anti-empreintes digitales et ainsi les opérateurs de sites Web ne peuvent pas interférer avec le code JavaScript des plugins de navigateur (mais la technologie est évidemment une arme à double tranchant dans le contexte de l’obscurcissement du suivi) – arguant qu’il est donc « plus important que trouver une solution pour mettre fin à l’utilisation de navigateurs intégrés personnalisés pour afficher du contenu tiers ».
Malgré certains comportements préoccupants identifiés dans les applications mobiles fonctionnant sur iOS, la plate-forme d’Apple est généralement présentée comme plus sûre pour la confidentialité que l’alternative au système d’exploitation mobile Google, Android – et il convient de noter que les applications qui suivent la recommandation d’Apple d’utiliser Safari (ou SFSafariViewController) pour la visualisation de sites Web externes ont été trouvés par Krause comme étant « du bon côté » – y compris Gmail, Twitter, WhatsApp et bien d’autres – comme il le dit, la méthode recommandée par Cupertino signifie qu’il n’y a aucun moyen pour les applications d’injecter du code sur des sites Web, y compris en déployant le système JavaScript isolé susmentionné (qui pourrait autrement être utilisé pour obscurcir le code de suivi).