TikTok insère un code qui capture vos mots de passe et vos cartes de crédit

TikTok, comme de nombreuses autres plateformes similaires, dispose d’une sorte de navigateur interne qui permet d’accéder directement aux sites web vers lesquels les créateurs renvoient dans leurs vidéos ou dans leur profil. Il s’agit d’une option dont l’objectif principal est, a priori, d’améliorer l’expérience de navigation et de retenir les internautes au sein de l’application ; sinon, le site web derrière le lien s’ouvrirait dans un navigateur externe. Mais il semble que l’application développée par ByteDance tire parti de cette fonctionnalité pour faire plus que simplement maximiser l’expérience. Selon les recherches, TikTok insère un code dans son navigateur qui lui permet de suivre pratiquement tous les mouvements de l’utilisateur.

Le chercheur Felix Krause affirme que TikTok est capable de collecter pratiquement tous les mouvements de l’utilisateur sur le site web ouvert depuis le navigateur interne de l’application. Pour ce faire, ils insèrent un code Javascript modifié qui leur permet de connaître les sections du site sur lesquelles l’utilisateur clique. « En interagissant avec le site web, TikTok s’abonne à toutes les entrées clavier (y compris les mots de passe, les informations relatives aux cartes de crédit, etc.) et chaque touche de l’écran, comme les boutons et les liens sur lesquels vous cliquez », mentionne-t-il.

Krause ne peut garantir que TikTok utilise toutes ces données collectées par le biais de son navigateur interne, et par l’insertion de code Javascript, à des fins malveillantes. Il affirme également que d’autres plateformes comme Facebook ou Instagram, qui utilisent également des navigateurs internes pour afficher des liens, traquent également le contenu des utilisateurs.

👉​A lire également  PACMAN : l'attaque qui porte atteinte à la sécurité de l'Apple M1

TikTok assure que la trace n’est pas utilisée à des fins malveillantes

Un porte-parole de TikTok l’a reconnu Forbes que la plateforme insère du code Javascript dans les sites web ouverts par son navigateur interne. Elle assure cependant qu’elle n’est utilisée que pour améliorer l’expérience de l’utilisateur. « Comme d’autres plateformes, nous utilisons un navigateur in-app pour offrir une expérience utilisateur optimale, mais le code Javascript en question n’est utilisé que pour le débogage, le dépannage et le contrôle des performances de cette expérience, par exemple pour vérifier la vitesse de chargement d’une page ou si elle se plante », a déclaré la société au média.
Quoi qu’il en soit, il existe un moyen d’empêcher TikTok  ainsi que d’autres plateformes de suivre les utilisateurs en insérant du code Javascript. Ouvrir le lien par le biais d’un navigateur externe. Par exemple, Safari, Chrome ou le navigateur par défaut de l’appareil utilisé par l’utilisateur. Felix Krause veille à ce que toutes les applications dotées de navigateurs internes permettent l’ouverture du lien dans une application externe.