Le navigateur intégré de TikTok peut enregistrer toutes les saisies au clavier, y compris les numéros de cartes de crédit et les mots de passe
Un problème de sécurité majeur.
Le navigateur intégré à l’application de TikTok sur iOS injecte du code Javascript dans les sites web externes, ce qui permet à la plateforme de médias sociaux de suivre “toutes les entrées et les pressions du clavier”, selon le chercheur en sécurité Felix Krause. TikTok a déclaré que ce code n’était pas utilisé à des fins malveillantes.
M. Krause ajoute que les saisies au clavier et les pressions surveillés comprennent des données sensibles telles que les informations relatives aux cartes de crédit et les mots de passe.
“D’un point de vue technique, c’est l’équivalent de l’installation d’un keylogger sur des sites web tiers”, a déclaré le chercheur en sécurité. Toutefois, il reconnaît que “ce n’est pas parce qu’une application injecte du JavaScript dans des sites Web externes que l’application fait quelque chose de malveillant”.
Krause a conseillé à ceux qui veulent se protéger de l’utilisation malveillante du code d’ouvrir les sites Web externes en utilisant le navigateur par défaut d’iOS, Safari, ou tout autre navigateur par défaut qu’ils utilisent.
“Chaque fois que vous ouvrez un lien à partir d’une app, regardez si l’app offre un moyen d’ouvrir le site web actuellement affiché dans votre navigateur par défaut”, a déclaré Krause. “Au cours de cette analyse, chaque application, à l’exception de TikTok, offrait un moyen de le faire.”
L’expert en sécurité a également créé un outil simple pour permettre aux gens de vérifier si un navigateur in-app injecte du code Javascript lors de l’ouverture de sites Web externes.
“Selon le chercheur, les utilisateurs doivent simplement ouvrir une application qu’ils souhaitent analyser, partager l’adresse InAppBrowser.com quelque part dans l’application (par exemple dans un message direct à une autre personne), appuyer sur le lien à l’intérieur de l’application pour l’ouvrir dans le navigateur in-app, et lire les détails du rapport affiché”, rapporte le média MacRumors.
S’adressant à Forbes, un porte-parole de TikTok a admis qu’ils utilisent le code Javascript, mais a affirmé qu’il n’était pas utilisé à des fins malveillantes.
“Comme d’autres plates-formes, nous utilisons un navigateur in-app pour offrir une expérience utilisateur optimale, mais le code Javascript en question n’est utilisé que pour le débogage, le dépannage et le contrôle des performances de cette expérience, par exemple pour vérifier la vitesse de chargement d’une page ou si elle se bloque”, a déclaré le porte-parole.
Source : Reclaim The Net – Traduit par Anguille sous roche
