Avez-vous vu passer l'injection de contenu dans les pages web par TikTok ? 🧵
Le chercheur en sécurité Felix Kraus a sorti le 18 août un article dans lequel il dévoile les pratiques d'applications comme TikTok, Instagram, Facebook et d'autres. 🧵1/7
Cet article se concentre sur les navigateurs intégrés à ces applications, visibles en ouvrant des liens depuis celles-ci. 🧵2/7
On apprend dans cet article que le réseau social chinois injecte dans tous les sites visités du code qui "écoute" chaque touche du clavier tapée, chaque clic sur des liens, boutons, images, et chaque lien visité. On apprend aussi qu'Instagram aurait des pratiques similaires.🧵3/7
Pour ce faire, ces applications utilisent le navigateur interne mis à disposition par iOS/Android au sein de leur application au lieu d'ouvrir les liens dans le navigateur habituel de l'utilisateur (Safari, Chrome, Firefox, etc.). 🧵4/7
Cela leur permet d'injecter ce code JavaScript potentiellement malveillant. 🧵5/7
Ces raisons invoquées restent plutôt floues et certaines personnes s'inquiètent des conséquences en terme de respect de la vie privée. 🧵7/7
@ilearned
Du coup on fait mieux de configurer si possible chaque application pour diriger les liens vers son navigateur habituel ?
Les deux entreprises, en réponse à cet article, affirment ne pas enregistrer ces données pour tracker les utilisateur-ices mais les utiliser à des fins de "sécurité" ou de "performance". 🧵6/7