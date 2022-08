Felix Krause, qui avait déclenché une panique médiatique au sujet de l'injection de code JavaScript dans les navigateurs maison d'Instagram et Facebook, vient de lancer un site web permettant de vérifier les commandes JavaScript exécutées dans les applications iOS et Android.

Krause explique que, suite au succès de son précédent billet, qui « a généré plus d'un million d'impressions sur Twitter », en plus d'être repris « par les principaux médias du monde entier », de nombreux internautes voulaient pouvoir vérifier ce que font les autres applications.

Pour tester son nouvel outil (dont il partage le code sur GitHub), il propose de partager l'URL https://inappbrowser.com/ dans l'application à tester, afin de pouvoir cliquer sur le lien, et lire le rapport qui s'affichera dans l'application.

Il a ainsi découvert que TikTok ne disposait pas d'option permettant d'ouvrir un lien dans le navigateur par défaut, mais qu'il pouvait également modifier la page visitée, récupérer les métadonnées, ainsi que tout ce que tape l'utilisateur sur son clavier.

Interrogé par TechCrunch, un porte-parole de TikTok rétorque que « les conclusions du rapport sur TikTok sont incorrectes et trompeuses » :

« Le chercheur dit spécifiquement que le code JavaScript ne signifie pas que notre application fait quoi que ce soit de malveillant, et admet qu'ils n'a aucun moyen de savoir quel type de données notre navigateur intégré à l'application collecte. Contrairement aux affirmations de son rapport, nous ne collectons pas les entrées de frappe ou de texte via ce code, qui est uniquement utilisé pour le débogage, le dépannage et la surveillance des performances ».

L'autorité irlandaise de protection des données, dont Meta et TikTok dépendent du fait du RGPD en Europe, a précisé à TechCrunch qu'elle venait de leur demander de s'expliquer sur ces injections de code JavaScript.