“Mon rapport ne prétend pas que les données sont réellement utilisées ou enregistrées”, a déclaré le fondateur de fastlane, qui aide les développeurs à créer et à publier des applications.
“[But] en théorie, ils pourraient commencer à suivre ces choses à tout moment dans le futur, s’ils le voulaient.
Un navigateur intégré à l’application est un navigateur Web dans une application mobile qui, plutôt que d’ouvrir un navigateur externe, tel que Safari ou Edge, ouvre des liens dans une application, gardant l’utilisateur dans l’écosystème.
Le rapport de M. Krause, publié à la fin de la semaine dernière et étiqueté “incorrect et trompeur” par TikTok, a révélé que lorsque les utilisateurs ouvrent un lien dans l’application, il s’abonne à toutes les entrées au clavier, qui peuvent inclure des mots de passe, des informations de carte de crédit ou d’autres informations sensibles, ainsi à chaque pression sur l’écran.
“Nous ne pouvons pas savoir à quoi TikTok utilise l’abonnement, mais d’un point de vue technique, cela équivaut à installer un enregistreur de frappe sur des sites Web tiers”, indique le rapport.
M. Krause a déclaré qu’il était courant d’utiliser ce type de logiciel d’analyse lors du développement et des versions bêta d’applications, afin que les développeurs puissent apprendre et analyser comment les testeurs précédents utilisaient l’application.
“Cependant, ce type de logiciel ne devrait faire partie d’aucune application utilisée en production”, a-t-il déclaré.
TikTok compte plus d’un milliard d’utilisateurs actifs par mois et a été l’une des applications les plus téléchargées de 2020 et 2021. En Australie, on estime qu’il compte environ 7 millions d’utilisateurs.
Le suivi par les applications de médias sociaux n’est pas rare. Cependant, les découvertes de M. Krause suggèrent que TikTok va plus loin que les autres applications.
Interactions avec l’utilisateur
Plus tôt ce mois-ci, M. Krause a publié des recherches qu’il avait effectuées sur le navigateur intégré d’Instagram.
Il a trouvé le code injecté par l’application appartenant à Meta qui lui permettait de surveiller toutes les interactions de l’utilisateur, “comme chaque bouton et lien tapé, les sélections de texte, les captures d’écran, ainsi que toutes les entrées de formulaire, comme les mots de passe, les adresses et les numéros de carte de crédit”.
M. Krause a déclaré dans son analyse d’environ 20 applications que TikTok était la seule à ne pas permettre aux utilisateurs d’utiliser le navigateur par défaut de leur téléphone lors de l’ouverture d’un lien dans l’application. Il a noté que certains tweets qu’il a reçus montraient un bouton pour ouvrir un navigateur externe lors de l’ouverture des publicités TikTok.
“Il existe des problèmes de confidentialité et d’intégrité des données lorsque vous utilisez des navigateurs intégrés à l’application pour visiter des sites Web non propriétaires, comme la façon dont Instagram et TikTok affichent tous les sites Web externes dans leur application”, indique le rapport de recherche.
“Plus important encore, ces applications offrent rarement la possibilité d’utiliser un navigateur standard par défaut, au lieu du navigateur intégré à l’application. Et dans certains cas [like TikTok]il n’y a pas de bouton pour ouvrir la page actuellement affichée dans le navigateur par défaut.
TikTok a déclaré dans un communiqué que les conclusions du rapport étaient “incorrectes et trompeuses”.
“Le chercheur dit spécifiquement que le code JavaScript ne signifie pas que notre application fait quoi que ce soit de malveillant, et admet qu’ils n’ont aucun moyen de savoir quel type de données notre navigateur intégré à l’application collecte.
“Contrairement aux affirmations du rapport, nous ne collectons pas les entrées de frappe ou de texte via ce code, qui est uniquement utilisé pour le débogage, le dépannage et la surveillance des performances.”
M. Krause a spécifiquement déclaré que ses recherches ne prétendaient pas que le suivi se produisait, mais seulement que TikTok en avait la capacité.
Ses recherches s’ajoutent aux préoccupations croissantes concernant l’application TikTok, la sécurité et les données qu’elle collecte.
TikTok Australia appartient à TikTok Ltd, qui est enregistrée aux îles Caïmans. TikTok Ltd appartient à ByteDance Ltd, une multinationale chinoise dont le siège est à Pékin et domiciliée aux îles Caïmans.
Le mois dernier, TikTok a admis que les données des utilisateurs australiens pouvaient être consultées par le personnel en Chine continentale dans une lettre, qui a été révélée par La revue financière australienneau sénateur libéral James Paterson.
Les inquiétudes persistantes des gouvernements occidentaux et des agences de renseignement concernant TikTok, les liens entre sa société mère ByteDance et le Parti communiste chinois (PCC) et la vaste loi chinoise sur le renseignement national n’ont pas ralenti sa croissance.
TikTok nie que toutes les données puissent être consultées par le PCC et qu’il dispose de protocoles de sécurité robustes sur qui peut y accéder.
