Une nouvelle recherche a montré que la plupart des applications n’utilisent pas le navigateur web par défaut du smartphone pour ouvrir des liens, ce qui pourrait potentiellement contourner les fonctions de sécurité et de confidentialité du système d’exploitation.
Un chercheur en sécurité, Felix Krause, a montré que les applications Instagram et Facebook de Meta sur iOS ajoutent du code JavaScript aux sites Web tiers lorsque vous les visitez à l’aide du navigateur in-app personnalisé de l’application. Les navigateurs in-app permettent aux gens de visiter des sites web sans quitter leurs apps. Le code inséré permet aux applications de suivre potentiellement toutes vos interactions avec les sites web externes, en contournant la fonction App Tracking Transparency (ATT) d’iOS. Apple a ajouté ATT spécifiquement pour forcer les développeurs d’apps à obtenir le consentement des gens avant de suivre les données générées par des tiers.
« Le contournement d’Instagram n’est pas surprenant », a déclaré Lior Yaari, PDG et cofondateur de la startup de cybersécurité Grip Security, à Lifewire par courriel. « Les restrictions d’Apple menacent le cœur du modèle économique de l’entreprise, il s’agissait donc de s’adapter [pour] survivre. »
Table des matières
Frapper là où ça fait mal
Meta a ouvertement admis que la fonction TCA lui coûtait environ 10 milliards de dollars par an en revenus publicitaires.
Au cours de ses recherches, Krause a découvert que lorsqu’un utilisateur iOS des apps Facebook et Instagram clique sur un lien au sein de ces réseaux sociaux, ceux-ci s’ouvrent dans le navigateur in-app.
Au minimum, les gens ne devraient pas utiliser les navigateurs in-app pour saisir des informations sensibles ou confidentielles.
Il a averti que le code JavaScript personnalisé que le navigateur in-app injecte permet aux deux apps de suivre potentiellement chaque interaction avec les sites web externes, y compris tout ce que vous tapez dans une zone de texte comme les mots de passe et les adresses.
« Avec 1 milliard d’utilisateurs actifs d’Instagram, la quantité de données qu’Instagram peut collecter en injectant le code de suivi dans chaque site web tiers ouvert depuis l’application Instagram & Facebook est une quantité stupéfiante », a écrit Krause.
La découverte ne surprend pas George Gerchow, responsable de la sécurité et vice-président senior de l’informatique chez Sumo Logic.
S’adressant à Lifewire par courriel, Gerchow a déclaré que les réseaux de médias sociaux disposent de certains des algorithmes d’intelligence artificielle et d’apprentissage automatique les plus puissants au monde, ce qui, combiné à leur tentative incessante d’inciter les gens à rester sur leurs plateformes, devient un véritable danger.
« Je crois fermement qu’Apple était au courant mais ne voulait pas de publicité », a déclaré Gerchow, ajoutant : « Safari [d’Apple] n’est pas non plus le plus sûr des navigateurs. »
Que les jeux commencent
Si M. Krause n’a pas pu examiner le code pour en connaître la véritable intention, il a démontré comment les applications pouvaient contourner les restrictions de la TTA. Yaari pense que cela devrait inciter Apple à se lever, à prendre note, et peut-être même à mettre en œuvre des restrictions supplémentaires pour limiter le suivi via les navigateurs in-app.
« C’est le début du jeu du chat et de la souris auquel les deux entreprises vont se livrer, et dont l’issue aura des répercussions majeures sur le secteur », a déclaré M. Yaari.
Tom Garrubba, directeur des services de gestion des risques pour les tiers chez Echelon Risk + Cyber, estime qu’Apple semble avoir considérablement amélioré son image en ce qui concerne la prise en compte des questions de confidentialité, non seulement dans la perception mais aussi dans l’action via son codage et son déploiement.
« Il faudra peut-être une action collective en justice, de mauvaises relations publiques et/ou une lourde amende pour violation de la vie privée pour que les développeurs d’applications se rendent compte qu’ils doivent intégrer la protection de la vie privée dès la conception dans tous les aspects du développement du code et de la prestation de services », a déclaré M. Garrubba à Lifewire par courrier électronique. « Je prédis que l’inaction des grandes entreprises technologiques conduira à un procès ou à une lourde pénalité. »
En attendant, pour protéger votre vie privée, Krause suggère de quitter le navigateur in-app et de simplement copier-coller l’URL pour l’ouvrir dans un autre navigateur externe.
« Au minimum, les gens ne devraient pas utiliser les navigateurs in-app pour saisir des informations sensibles ou confidentielles », suggère Yaari.
Cependant, nos experts reconnaissent qu’il est peu probable que beaucoup de gens changent réellement leur comportement, car cela pourrait rendre l’expérience utilisateur plus incommode.
« Malheureusement, comme 99,9 % des humains souffrent du besoin de « gratification instantanée », ils sauteront cette étape et l’ouvriront directement dans leur navigateur par défaut », a déclaré Garrubba. « C’est clairement ce que veut big tech, et ils obtiendront très probablement les données qu’ils veulent ».
C’est ici le bon site pour tous ceux qui souhaitent s’informer sur ce sujet. Vous réalisez beaucoup de choses.
Excellent travail, tout simplement merveilleux !
Je vais apprécier au cas où vous continuez cela à l’avenir. Beaucoup de gens vont bénéficier de votre écriture.
Merci !
Mon frère a suggéré que je pourrais aimer ce site web. Il avait totalement raison. Cet article a vraiment illuminé ma journée. Vous ne pouvez pas imaginer combien de temps j’ai passé à chercher cette information ! Merci !