Saviez-vous que vous êtes potentiellement suivi lorsque vous chargez un navigateur intégré à l’application sur iOS ? Un nouvel outil révèle exactement comment, montrant comment des applications comme TikTok et Instagram peuvent potentiellement utiliser JavaScript pour afficher des données sensibles, y compris votre adresse, vos mots de passe et vos informations de carte de crédit, sans votre consentement.

L’outil est disponible sur InAppBrowser.com. Tout ce que vous avez à faire est d’ouvrir l’application que vous souhaitez vérifier et de partager l’URL InAppBrowser.com quelque part dans celle-ci, par exemple en envoyant le lien à un ami ou en le publiant dans un commentaire. À partir de là, vous pouvez appuyer sur le lien et obtenir un rapport du site Web sur les scripts exécutés en arrière-plan.

Ne soyez pas intimidé si vous n’êtes pas familier avec le jargon technique, en tant que développeur de l’outil, Felix Krause, fournit quelques FAQ cela explique exactement ce que vous voyez. En réponse aux questions sur la meilleure façon de vous protéger, Krause déclare : « Chaque fois que vous ouvrez un lien à partir d’une application, voyez si l’application offre un moyen d’ouvrir le site Web actuellement affiché dans votre navigateur par défaut. Au cours de cette analyse, chaque application en plus de TikTok a proposé un moyen de le faire.

Krause est un chercheur en sécurité et ancien employé de Google qui, plus tôt ce mois-ci partagé un rapport détaillé sur la façon dont les navigateurs dans des applications comme Facebook, Instagram et TikTok peuvent constituer un risque pour la vie privée des utilisateurs d’iOS.

Les navigateurs intégrés à l’application sont utilisés lorsque vous appuyez sur une URL dans une application. Bien que ces navigateurs soient basés sur le WebKit de Safari sur iOS, les développeurs peuvent les ajuster pour exécuter leur propre code JavaScript, leur permettant de suivre votre activité sans votre consentement ou celui des sites Web tiers que vous visitez.

Les applications peuvent injecter leur code JavaScript dans des sites Web, ce qui leur permet de surveiller la façon dont l’utilisateur interagit avec l’application. Cela peut inclure des informations sur chaque bouton ou lien sur lequel vous appuyez, les entrées au clavier et si des captures d’écran ont été prises, bien que chaque application varie dans les informations qu’elle collecte.

En réponse au rapport précédent de Krause, Meta a justifié l’utilisation de ces scripts de suivi personnalisés en affirmant que les utilisateurs consentent déjà à ce que des applications comme Facebook et Instagram suivent leurs données. Meta affirme également que les données récupérées ne sont utilisées qu’à des fins de publicité ciblée ou à des «fins de mesure» non spécifiées.

“Nous avons intentionnellement développé ce code pour honorer la [Ask to track] choix sur nos plateformes”, a déclaré un porte-parole de Meta. “Le code nous permet d’agréger les données des utilisateurs avant de les utiliser à des fins de publicité ciblée ou de mesure.”

Ils ont ajouté: “Pour les achats effectués via le navigateur intégré à l’application, nous demandons le consentement de l’utilisateur pour enregistrer les informations de paiement à des fins de remplissage automatique.”

L’outil développé par Krause n’est pas infaillible. Il admet qu’il ne peut pas détecter toutes les commandes JavaScript possibles en cours d’exécution et mentionne que JavaScript est également utilisé dans le développement légitime et n’est pas intrinsèquement malveillant. Il note: “Cet outil ne peut pas détecter toutes les commandes JavaScript exécutées, et ne montre aucun suivi que l’application pourrait faire en utilisant du code natif (comme les reconnaissances de gestes personnalisées)”. Néanmoins, cela offre aux utilisateurs iOS un moyen convivial de vérifier leur empreinte numérique dans leurs applications préférées.

Krause a également rendu l’outil open source, déclarant “InAppBrowser.com est conçu pour que tout le monde puisse vérifier par lui-même ce que font les applications dans leurs navigateurs intégrés. J’ai décidé d’ouvrir le code utilisé pour cette analyse, vous pouvez le vérifier sur GitHub. Cela permet à la communauté de mettre à jour et d’améliorer ce script au fil du temps. Vous pouvez en savoir plus sur son site internet.

Leave a Reply

Your email address will not be published.