Meta a été poursuivi mercredi pour un suivi et une collecte de données présumés non divulgués dans ses applications Facebook et Instagram sur les iPhones d’Apple.

La procès [PDF]déposée auprès d’un tribunal de district fédéral américain à San Francisco, affirme que les deux applications incorporent l’utilisation de leur propre navigateur connu sous le nom de WKWebView qui injecte du code JavaScript pour collecter des données qui seraient autrement indisponibles si les applications ouvraient des liens dans le navigateur autonome par défaut désigné par les utilisateurs d’iPhone.

L’affirmation est basée sur les conclusions du chercheur en sécurité Felix Krause, qui a publié le mois dernier une analyse de la façon dont les navigateurs WKWebView sont intégrés dans les applications natives peut être abusé pour suivre les gens et violer les attentes en matière de confidentialité.

« Lorsque les utilisateurs cliquent sur un lien dans l’application Facebook, Meta les dirige automatiquement vers le navigateur intégré à l’application qu’il surveille au lieu du navigateur par défaut du smartphone, sans dire aux utilisateurs que cela se produit ou qu’ils sont suivis », indique la plainte.

« Les informations utilisateur que Meta intercepte, surveille et enregistre comprennent des informations personnellement identifiables, des détails de santé privés, des entrées de texte et d’autres faits confidentiels sensibles. »

Publicité

Confronté le mois dernier aux découvertes de Krause, Meta a insisté sur le fait que son injection de code avait été faite pour respecter les choix de confidentialité de ses utilisateurs (en dehors de leur choix de navigateur par défaut).

« Nous avons intentionnellement développé ce code pour honorer les choix des utilisateurs en matière de transparence du suivi des applications (ATT) sur nos plateformes », a déclaré un porte-parole de Meta. Le registre le mois dernier. « Le code nous permet d’agréger les données avant qu’elles ne soient utilisées à des fins de publicité ciblée ou de mesure. »

Le directeur des méta-communications, Andy Stone, a fait une déclaration similaire par Twitter.

La plainte, qui demande la certification d’un recours collectif, soutient que le suivi non divulgué de Meta viole la loi fédérale sur les écoutes téléphoniques, la loi californienne sur l’invasion de la vie privée et la loi sur la concurrence de l’État – sur la base de la vanité que les données obtenues par Meta lui ont permis d’augmenter ses bénéfices et pour obtenir un avantage sur les concurrents.

« L’injection de JavaScript par Meta coïncide avec les récentes mises à jour de confidentialité pour les iPhones et autres appareils iOS », affirme la plainte, soulignant l’introduction en 2021 d’iOS 14.5 et de son cadre de transparence du suivi des applications (ATT) qui refuse les données.

Fluff et non-sens?

La salve juridique fait grand cas de la façon dont Meta (alors connu sous le nom de Facebook) a mené une campagne de relations publiques dans un effort infructueux pour annuler ATT au motif que cela nuirait aux petites entreprises qui dépendent des publicités basées sur les données du secteur de la publicité sociale.

Meta maintient qu’il suit les règles ATT d’Apple et Krause ne le conteste pas.

Cependant, l’utilisation par Meta de navigateurs intégrés dans ses applications mobiles est antérieure à l’initiative ATT d’Apple. Apple a présenté WKWebView lors de sa conférence mondiale des développeurs 2014 en remplacement de ses anciens frameworks UIWebView (UIKit) et WebView (AppKit). C’était dans iOS 8. Avec l’arrivée d’iOS 9, comme décrit à WWDC 2015il y avait une autre option, SFSafariViewController. Actuellement c’est ce qui est conseillé pour afficher un site Web dans une application.

Et l’utilisation par l’entreprise de navigateurs intégrés à l’application a déjà suscité des inquiétudes.

« En plus des fonctionnalités limitées, WebViews peut également être utilisé pour mener efficacement des attaques intentionnelles de type « man-in-the-middle », puisque l’IAB [in-app browser] développeur peut arbitrairement injecter du code JavaScript et aussi intercepter le trafic réseau« , a écrit Thomas Steiner, ingénieur des relations avec les développeurs de Google, dans un article de blog il y a trois ans.

Dans son message, Steiner souligne qu’il n’a rien vu d’inhabituel comme une fonction « téléphoner à la maison ».

Krause a adopté une ligne similaire, notant uniquement le potentiel d’abus. Dans un poste de suiviil a identifié un code de collecte de données supplémentaire.

Il a écrit: « Instagram iOS s’abonne à chaque pression sur n’importe quel bouton, lien, image ou autre composant sur des sites Web externes rendus dans l’application Instagram » et également « s’abonne à chaque fois que l’utilisateur sélectionne un élément d’interface utilisateur (comme un champ de texte) sur le troisième sites Web de fête rendus dans l’application Instagram. »

Cependant, « s’abonner » signifie simplement que les données d’analyse sont accessibles dans l’application, sans offrir de conclusion sur ce qui, le cas échéant, est fait avec les données. Krause souligne également que depuis 2020, Apple propose un framework appelé WKContentWorld qui isole l’environnement Web des scripts. Les développeurs utilisant un navigateur intégré à l’application peuvent implémenter WKContentWorld afin de rendre les scripts indétectables de l’extérieur, a-t-il déclaré.

Quoi que Meta fasse en interne avec son navigateur intégré à l’application, et même compte tenu de l’insistance de l’entreprise, son script injecté valide les paramètres ATT, les plaignants poursuivant l’entreprise affirment qu’il n’y a pas eu de divulgation du processus.

« Meta ne divulgue pas les conséquences de la navigation, de la navigation et de la communication avec des sites Web tiers à partir du navigateur intégré à l’application de Facebook, à savoir que cela annule les paramètres de confidentialité de leur navigateur par défaut, sur lesquels les utilisateurs s’appuient pour bloquer et empêcher le suivi », dit la plainte. « De même, Meta dissimule le fait qu’il injecte du JavaScript qui modifie les sites Web externes de tiers afin qu’il puisse intercepter, suivre et enregistrer des données auxquelles il ne pourrait pas accéder autrement. »

Meta rejette les revendications du procès. « Ces allégations sont sans fondement et nous nous défendrons vigoureusement », a déclaré un porte-parole de la société dans un communiqué envoyé par courrier électronique.

« Nous avons soigneusement conçu notre navigateur intégré à l’application pour respecter les choix de confidentialité des utilisateurs, y compris la manière dont les données peuvent être utilisées pour les publicités. » ®

->Google Actualités

Rate this post
Publicité
Article précédentAlex Jones demande sans vergogne des dons de crypto-monnaie Infowars lors du témoignage du procès de Sandy Hook
Article suivantLes développeurs de toute l’industrie du jeu démystifient les critiques injustes des premiers visuels de GTA 6
Mélissa Babineaux
Mélissa Babineaux

ARTICLES CONNEXESPLUS DE L'AUTEUR

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici