Entre copier et coller, ces apps qui siphonnent vos données
Des dizaines d’applications iOS récoltent les contenus copiés collés. Une pratique découverte en mars, mais qui n’a pas cessé depuis, malgré la promesse de certains éditeurs de cesser d’accéder à ces données, à l’instar de TikTok.
TikTok, Viber, Accuweather, New York Times, Aliexpress, ou encore Plants vs Zombies: autant d’applications qui siphonnent le contenu du presse-papier d’iOS sans le consentement de l’utilisateur. La possibilité d’accéder aux données du presse-papier (dans certains cas des mots de passe, codes bitcoin et autres informations sensibles) avait été révélée en mars par des chercheurs en cybersécurité, qui avaient découvert qu’au moins 53 applications iOS espionnaient les contenus copiés/collés. Plusieurs entreprises avaient alors promis de mettre fin à cette pratique. Cependant, une nouvelle fonction de sécurité apparue dans la version bêta d’iOS 14 s’adressant aux développeurs, qui alerte l’utilisateur lorsqu’un contenu du presse-papier est consulté par une app, révèle que la récupération de données n’a en réalité pas cessé.
TikTok, épinglé en mars pour avoir continué ces pratiques malgré la promesse d’y mettre fin, a expliqué au Telegraph que la lecture du presse-papier était déclenchée par une fonctionnalité conçue pour identifier les comportements répétitifs et le spam. L’application de partage vidéo, particulièrement populaire auprès des jeunes, a une nouvelle fois promis d’arrêter, sans préciser si les données du presse-papiers étaient envoyées à l’extérieur ni depuis combien de temps la fonction était en place.
Le Telegraph explique que ces pratiques sont provoquées par des SDK tiers (Apptimize et une version obsolète de Google Mobile Ads) intégrés dans les apps, qui lisent le presse-papier pour y rechercher des chaînes de caractères uniques, utilisées par les développeurs pour activer des modes de débogage.
De nombreuses applications ont accès au contenu temporairement stocké dans le presse-papier, que du texte ait été saisi lors de l'utilisation de cette app ou non. TikTok accède par exemple au contenu du presse-papiers à chaque fois qu’un espace blanc ou un signe de ponctuation était tapé dans l’app. Pire, la lecture des données ne se limite pas au contenu stocké sur son téléphone. Sur iOS, le presse-papier est en effet partagé entre tous les appareils qui utilisent le même compte utilisateur. Il est donc possible qu’une app lise les données d’un Mac ou d’un iPad synchronisé avec un iPhone.