Sécurité

IOS 14 montre que LinkedIn et Reddit accèdent à ce que l’utilisateur a copié

Que feriez-vous si vous découvriez que certaines applications accèdent au presse-papiers (presse-papiers) de votre téléphone portable lorsque vous êtes sourd ? Grâce à l’iOS 14, certains développeurs ont découvert que des applications de services comme LinkedIn et Reddit le font sur l’iPhone.

Entre autres données, le presse-papiers stocke des informations que vous copiez puis collez. Vous pouvez déjà voir le danger de cette fouille, pour ainsi dire : si vous avez copié un numéro de carte de crédit ou un mot de passe, par exemple, ces informations peuvent être saisies par une application fonctionnant en arrière-plan, sans aucun avertissement.

Bien que le problème ne soit pas récent, il n’a été mis en lumière qu’à la fin du mois de juin, après la sortie de la version bêta d’iOS 14. L’explication réside dans le fait que cette version du système d’exploitation est capable de “dedurar” les applications qui accèdent au presse-papiers.

Il est logique qu’un client de messagerie accède au presse-papiers lorsque vous copiez et collez une adresse, par exemple, mais pas qu’une application accède au presse-papiers dans des circonstances sans rapport avec des opérations de ce type.

  Apple met à jour iOS et corrige une faille de sécurité

La semaine dernière, il est apparu qu’au moins 50 applications différentes accédaient de manière suspecte au presse-papiers de l’iPhone, dont TikTok, qui le faisait en appuyant sur la barre d’espace ou sur une touche de score.

Récemment, le développeur Donald Morton a montré sur Twitter le moment où l’application de Reddit accède et capture des données dans le presse-papiers :

Pour aggraver les choses, il est également apparu qu’une autre application populaire, LinkedIn, avait le même type de comportement.

Il n’a pas fallu longtemps pour que les entreprises responsables de ces applications s’expliquent. To The Verge, Reddit a indiqué que l’on accède au presse-papiers pour vérifier les URL qui peuvent y exister et indiquer le contenu en fonction du contenu de ces adresses.

LinkedIn a informé que l’accès est fait pour “vérifier l’égalité” entre ce que l’utilisateur tape et ce qui se trouve dans le presse-papiers.

Les deux sociétés ont également expliqué que les applications ne stockent ni ne retransmettent les données existantes dans le presse-papiers. En tout cas, les applications sont déjà en cours de mise à jour pour éviter ce genre de comportement.

  Facebook va modifier les conditions pour supprimer 1,5 milliard d'utilisateurs de la nouvelle loi sur la protection de la vie privée

On peut même s’attendre à ce que LinkedIn, Reddit et d’autres services populaires mettent à jour leurs applications en réponse aux critiques formulées. Mais, comme le souligne M. Morton, le plus grand souci est que pratiquement tous les développeurs ont accès au presse-papiers, ce qui peut faciliter les attaques de phishing, par exemple.

Pour l’instant, la recommandation est d’être prudent. Éviter les applications obscures et, comme le suggère M. Morton, utiliser des gestionnaires de mots de passe qui effacent les données dans le presse-papiers après un certain temps est un bon début.

A propos de l'auteur

Zineb

Enseignante en lycée, je m'intéresse à tout ce qui touche aux nouvelles technologies. #teamMac sur PerlmOl (je ne me sépare d'ailleurs jamais non plus de mon Iphone).

Laisser un commentaire