/i/2004607064.png?fit=%2C&ssl=1)
TikTok injecte du code dans des pages Web tierces lorsqu’un utilisateur ouvre une page de navigateur dans l’application TikTok. Ce code pourrait servir d’enregistreur de frappe, entre autres. Selon le média social, le code en question n’est utilisé qu’à des fins de développement.
Développeur et chercheur en sécurité Félix Krause a découvert que lorsqu’un utilisateur ouvre un lien dans la version iOS de TikTok, un navigateur intégré à l’application s’ouvre dans lequel le média social peut injecter du code JavaScript. Cela permettrait d’enregistrer les données saisies au clavier, y compris les mots de passe, les informations de paiement et d’autres données. Il n’a pas cherché à savoir si c’était également le cas pour la version Android de l’application.
TikTok confirme en face de Forbes que le code JavaScript est bien présent, mais que les messages concernant un présumé keylogger sont trompeurs. Le morceau de code controversé serait une partie inutilisée d’un SDK tiers. “Comme d’autres plates-formes, nous utilisons également un navigateur intégré à l’application pour offrir une expérience utilisateur optimale. Le code JavaScript correspondant est utilisé pour débogage, dépannage et la surveillance des performances de l’application, comme la vérification de la vitesse de chargement d’une page et si la page plante.”
Ainsi, la partie keylogger du code du SDK tiers ne serait pas utilisée. Il n’est pas clair qui est ce tiers et s’il aurait réellement besoin d’un enregistreur de frappe à des fins de développement. TikTok suggère en outre que certaines données enregistrées ne sont traitées que localement sur l’appareil et ne sont pas transmises aux serveurs du média social.
Le chercheur dit dans ses conclusions, qui vont dans le sens des découverte précédente du suivi par Instagram et Facebook dans les navigateurs intégrés à l’application, cette déclaration de TikTok peut être correcte. “Le simple fait qu’une application injecte du JavaScript dans des sites Web externes ne signifie pas nécessairement que l’application fait quelque chose de malveillant. Il n’y a aucun moyen de savoir exactement quelles données un navigateur intégré à l’application collecte et si ces données sont transmises ou utilisées.”
Il n’est donc pas acquis que TikTok enregistre effectivement la saisie au clavier des utilisateurs, et encore moins l’envoie à ses propres serveurs ou la stocke autrement. Il est cependant presque certain que cela serait possible. Pour cette raison, selon Krause, il est judicieux de copier les liens du navigateur via TikTok, mais aussi via Facebook et Instagram, et de les coller directement dans un navigateur de confiance. De cette manière, les applications concernées ne peuvent pas injecter de code pour enregistrer des données sensibles de cette manière.
