IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

TikTok et 53 autres applications iOS continuent de fouiner dans vos données sensibles du presse-papiers
Malgré le fait qu'elles ont été épinglé en mars 2020 pour une pratique similaire

Le , par Stéphane le calme

204PARTAGES

22  0 
En mars, deux développeurs ont révélé que des applications dans iOS 13.3 pouvaient lire votre presse-papiers iOS sans autorisation. Dans un billet de blog, Tommy Mysk et Talal Haj Bakry ont utilisé Xcode pour analyser le comportement d'une cinquantaine d'applications, avec des résultats surprenants.

Le presse-papiers iOS ou iPadOS est l'endroit où les informations que vous copiez et collez sont stockées pendant que vous les utilisez. Si vous copier quoi que ce soit sur votre iPhone ou iPad, comme du texte, un message d'un ami, un mot de passe ou un numéro de carte de crédit, il est stocké dans votre presse-papiers jusqu'à ce que vous l'utilisiez.

« Nous avons exploré les applications figurant parmi les plus populaires disponibles sur l'App Store et observé leur comportement à l'aide des outils de développement Apple standard. Les résultats montrent que de nombreuses applications accèdent fréquemment à la table de montage et lisent son contenu sans le consentement de l'utilisateur, mais uniquement des données textuelles ».

L’une des applications incriminées est le célèbre Tik Tok.

Selon Mysk, « l'exploit fonctionne avec tous les types de données tels que du texte, des photos ou des documents PDF. Étonnamment, les applications que nous avons testées ont uniquement choisi de lire du texte, mais ignorent les autres types de données tels que les photos ou les documents PDF. En d'autres termes, toutes les applications que nous avons répertoriées dans notre blog sont uniquement intéressées par la lecture de texte dans le presse-papiers ».

Et de préciser que « l'accès au presse-papiers dans iOS et iPadOS ne nécessite aucune autorisation d'application depuis iOS 13.3. Bien que le presse-papiers offre la facilité de partager des données entre diverses applications, il présente un risque d'exposer des données privées et personnelles à des applications suspectes. Nous avons étudié de nombreuses applications populaires dans l'App Store et constaté qu'elles accèdent fréquemment au presse-papiers à l'insu de l'utilisateur. Notre enquête confirme que de nombreuses applications populaires lisent le contenu textuel du presse-papiers. Cependant, ce que les applications font avec les données n'est pas clair. Pour empêcher les applications d'exploiter le presse-papiers, Apple doit agir ».

Une demande qui n’est pas tombée dans les oreilles d’un sourd. En effet, attendu pour l'automne, iOS 14 est actuellement en version bêta, et cette dernière intègre une fonction de sécurité qui permet d'alerter l'utilisateur lorsqu'une application a un comportement douteux ou dangereux. En l'occurrence, iOS 14 détecte les applications qui ont accès au presse-papier.

TikTok, qui avait promis en mars dernier d’arrêter, a été pris en train de vérifier le presse-papiers toutes les deux à trois frappes.


Face au tollé que cette découverte a provoqué, TikTok est sorti de son silence et a indiqué avoir déjà envoyé une mise à jour vers l’App Store, en attente de validation. La fonction a été décrite comme une mesure « anti-spam », sans que l’on n’en sache plus, assurant que dans la mise à jour la fonctionnalité a été supprimée :

« Après la sortie de la version bêta d'iOS14 le 22 juin, les utilisateurs ont vu des notifications lorsqu'ils utilisaient un certain nombre d'applications populaires. Pour TikTok, cela a été déclenché par une fonctionnalité conçue pour identifier les comportements de spam répétitifs. Nous avons déjà soumis une version mise à jour de l'application à l'App Store en supprimant la fonction anti-spam pour éliminer toute confusion potentielle.

« TikTok s'engage à protéger la confidentialité des utilisateurs et à être transparent sur le fonctionnement de notre application. Nous sommes impatients d'accueillir des experts externes dans notre Centre de transparence plus tard cette année. »

Le duo des développeurs à l’origine de la découverte a estimé que la réponse de TikTok est logique, notant tout de même qu’il existe des moyens plus efficaces et moins intrusifs de vérifier efficacement le spam, et que tout développeur compétent ne lirait pas le presse-papiers toutes les deux ou trois frappes pour vérifier si le texte entré correspondait au presse-papiers. En effet, une ancienne API existe déjà que les développeurs peuvent utiliser pour vérifier spécifiquement si un utilisateur a collé du texte dans un champ de texte.



Ils ont également noté que la nouvelle fonctionnalité de notification d'Apple est peut-être si effrayante (peut-être même délibérément) que les utilisateurs seront véritablement dissuadés d'utiliser des applications qui présentent cette fonctionnalité, forçant les développeurs à changer leurs applications. Il est également très probable qu'Apple affine l'alerte à l'avenir. Actuellement, la notification n'est pas localisée, ne s'affiche qu'en anglais et il n'y a aucun moyen de récupérer une notification si vous la manquez. En outre, le message est tronqué, mais il n'y a aucun moyen d'afficher le contenu complet du message, ni aucun moyen de le désactiver.

Parmi les autres applications qui ont eu le même comportement que TikTok figurent :
  • des applications traitant d’actualités
    • ABC News
    • Al Jazeera English
    • CBC News
    • CBS News
    • CNBC
    • Fox News
    • News Break
    • New York Times
    • NPR
    • ntv Nachrichten
    • Reuters
    • Russia Today
    • Stern Nachrichten
    • The Economist
    • The Huffington Post
    • The Wall Street Journal
    • Vice News

  • Des jeux
    • 8 Ball Pool
    • AMAZE!!!
    • Bejeweled
    • Block Puzzle
    • Classic Bejeweled
    • Classic Bejeweled HD
    • FlipTheGun
    • Fruit Ninja
    • Golfmasters
    • Letter Soup
    • Love Nikki
    • My Emma
    • Plants vs. Zombies Heroes
    • Pooking – Billiards City
    • PUBG Mobile
    • Tomb of the Mask
    • Tomb of the Mask: Color
    • Total Party Kill
    • Watermarbling

  • Des applications de type réseaux sociaux
    • ToTalk
    • Tok
    • Truecaller
    • Viber
    • Weibo
    • Zoosk
    • Et d’autres
    • 10% Happier: Meditation
    • 5-0 Radio Police Scanner
    • Accuweather
    • AliExpress Shopping App
    • Bed Bath & Beyond
    • Dazn
    • Hotels.com
    • Hotel Tonight
    • Overstock
    • Pigment – Adult Coloring Book
    • Recolor Coloring Book to Color
    • Sky Ticket
    • The Weather Network



Des applications qui continuent ce comportement

Peu de temps après la publication du rapport, 10% Happier: Meditation and Hotel Tonight a promis d'arrêter ce comportement et s’est rapidement exécuté. De toutes les autres applications, aucune n’a arrêté ce comportement, a déclaré Mysk.

Dans certains cas, la lecture du presse-papiers peut rendre les applications beaucoup plus utiles. L'application UPS iPhone, par exemple, extrait le texte du presse-papiers et, si le texte correspond aux caractéristiques d'un numéro de suivi, l'application invite l'utilisateur à suivre le colis correspondant. Google Chrome extrait également du texte et, s'il s'agit d'une URL, il invitera l'utilisateur à y accéder. L'éditeur de photos Pixelmator ne lit les données que s'il s'agit d'une image. Si tel est le cas, Pixelmator invitera l'utilisateur à l'ouvrir pour le modifier. Dans les trois cas, la lecture des données a un cas d'utilisation clair et est transparente.

TikTok et les autres applications incriminées, en revanche, accèdent au presse-papiers sans raison claire et sans préciser aux utilisateurs qu'elles le font. Pour de nombreuses applications, il est difficile de voir une performance légitime ou une raison d'utilisation pour l'accès. Mysk a déclaré qu'Apple prévoyait de créditer ses recherches et celles de Haj Bakry comme catalyseur de la nouvelle notification du presse-papiers mise dans iOS 14.

Haj Bakry et Mysk espèrent que cette fonctionnalité s’étendra à ceux qui utilisent Android et éventuellement d'autres systèmes d'exploitation. Mysk a déclaré que la lecture du presse-papiers dans les applications Android est « encore pire » que sur iOS parce que les API du système d'exploitation sont beaucoup plus clémentes. Jusqu'à la version 10, par exemple, Android autorisait les applications s'exécutant en arrière-plan à lire le presse-papiers. Les applications iOS, en revanche, ne peuvent lire ou interroger les presse-papiers que lorsqu'elles sont actives (c'est-à-dire qu'elles s'exécutent au premier plan).

Mysk a déclaré que la fonction de notification d'Apple est un bon début, mais, en fin de compte, Apple et Google devraient faire plus. Une possibilité consiste à faire de l'accès au presse-papiers une autorisation standard, tout comme l'accès à un micro ou à une caméra l'est maintenant. Une autre possibilité consiste à exiger des développeurs d'applications qu'ils divulguent précisément les données du presse-papiers auxquelles l’application accède et ce que l'application en fait.

Pour l'instant, les utilisateurs doivent rester conscients que toutes les données stockées dans le presse-papiers sont régulièrement accessibles par des applications qui, dans de nombreux cas, ne sont même pas installées localement sur l'appareil.

Sources : Mysk, déclaration TikTok

Et vous ?

Que pensez-vous de l'explication avancée par TikTok qui avance qu'elle vérifie le contenu de votre presse-papiers pour les besoins de sa fonctionnalité anti-spam ?
Que pensez-vous de la fonctionnalité d'Apple qui prévient si une application fouine dans votre presse-papiers ?
Le système d'exploitation mobile Android gagnerait-il à faire pareil ? Cette fonctionnalité devrait-elle être copiée sur les systèmes d'exploitation desktop ? Dans quelle mesure ?
Que pensez-vous de la suggestion de proposer la lecture du presse-papiers comme une autorisation standard au même titre que l'accès au micro ou à la caméra ?

Voir aussi :

Un problème avec un SDK Facebook a entraîné le plantage de plusieurs applications iOS populaires comme TikTok, Spotify, Tinder et autres, mais le problème semble avoir été résolu
TikTok ordonne aux modérateurs de supprimer les publications des gens laids ou pauvres, selon des documents internes de l'entreprise
La société détentrice de TikTok poursuivie en justice pour avoir prétendument collecté des données sur ses utilisateurs âgés de moins de 13 ans sans le consentement de leurs parents
TikTok, une application de partage de vidéos courtes, est accusée d'avoir secrètement recueilli des données d'utilisateurs et de les avoir envoyé à la Chine

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de marsupial
Expert éminent https://www.developpez.com
Le 29/06/2020 à 18:01
"Ce qui se passe sur votre smartphone reste sur votre smartphone"
Ben voyons...
5  0