Des navigateurs in-app fouineurs : Meta manipule (toutes) les pages web

Quiconque fait afficher n’importe quelle page web tierce au sein de l’application Instagram, par exemple parce qu’il a suivi le lien dans la courte biographie d’un profil Instagram intéressant, le fait sous l’œil vigilant de Meta, la maison mère de Facebook.

Détournement de Webview

L’entreprise Zuckerberg, comme l’a constaté le chercheur en sécurité Felix Krause lors de plusieurs essais personnels, modifie toutes les pages web affichées au sein de sa propre application et y ajoute du code JavaScript de sa propre production.

Intervention de code dans chaque page web

Grâce à l’accès complet au contenu du navigateur web in-app, Meta est ainsi en mesure de contourner les mesures de protection des données mises en œuvre dans le navigateur standard du système d’exploitation mobile et peut théoriquement lire le contenu de toutes les pages web visitées.

Interrogée par le chercheur en sécurité, la maison mère du réseau social souligne certes qu’elle tient compte des préférences de l’utilisateur pour la transparence du suivi, mais elle indique également que les possibilités de lecture seront utilisées si les utilisateurs ne s’y sont pas activement opposés dans les réglages du système iOS (Réglages &gt ; Confidentialité &gt ; Suivi).

Suivi des métadonnées 1400

Le problème de la procédure démontrée par Krause est que les utilisateurs n’ont pas la possibilité de désactiver la manipulation des pages web affichées par Facebook. Apple lui-même ne propose pas de bouton permettant de s’assurer que les contenus en ligne sont toujours affichés dans le navigateur Safari standard et non dans les navigateurs in-app des nombreuses applications tierces. Le mode de blocage récemment introduit permet également de manipuler les pages web affichées lorsque celles-ci sont affichées dans des applications tierces.

Framebuster pour les navigateurs in-app

La découverte de Krause a tout de même attiré l’attention et a permis de mettre à jour les premières propositions sur la manière dont Apple pourrait réagir à ce comportement presque agressif. L’une des variantes les plus simples : les mesures de protection déjà existantes, qui veillent à ce que les pages Web ne puissent pas être chargées dans des cadres, pourraient être étendues à l’avenir aux navigateurs in-app.

Panier