Les apps LinkedIn et Reddit prises en flagrant délit d'espionnage de presse-papier 🆕
Après TikTok, c'est au tour de LinkedIn d'annoncer un changement dans le fonctionnement de son application mobile suite à la mise en ligne de la bêta d'iOS 14. Le développeur du portail de création de portfolio Urspace s'est rendu compte que sur son iPad Pro sous iPadOS 14, l'application LinkedIn copiait frénétiquement le contenu du presse-papier de son MacBook Pro, touche après touche.
Il s'agit d'une nouvelle fonction de sécurité d'iOS/iPadOS 14, qui prévient via une notification que l'application a récupéré le contenu du presse-papier, qu'il s'agisse du presse-papier local ou de celui d'iCloud (lire : iOS 14 : ces nouveautés qui protègent la vie privée de l'utilisateur). TikTok avait été pris la main dans le pot de confiture, expliquant que la collecte du presse-papier était une mesure visant à lutter contre le spam. L'application a promis de mettre un terme à ce comportement.
En ce qui concerne LinkedIn, Erran Berger, le vice-président de l'ingénierie a promis un correctif, en précisant que l'application ne stockait ni ne transmettait le contenu du presse-papier. À ZDnet, un porte-parole a confirmé qu'il s'agissait d'un bug et non d'un comportement voulu. Avec la bêta publique d'iOS 14 attendue ce mois puis la version finale cet automne, le nombre d'applications prises en flag' risque d'être assez important !
Mise à jour — Arf. C'est à une véritable épidémie de repompe de presse-papier à laquelle on va assister tout au long de l'été ! Après TikTok et LinkedIn, c'est au tour de Reddit, pris la main dans le sac, d'annoncer une prochaine mise à jour pour son application mobile. Elle aussi collecte le contenu du presse-papier, comme le montre les notifications sous iOS 14.
Une mise à jour de l'app est programmée pour le 14 juillet.
Au moins on a le droit à des commentaires plutôt rigolos.
Quelle salo#e cette application
Application virée immédiatement
Pour le fun (ou pas...), je viens de tester toutes les apps de mon iPhone sous iOS 14.
Seules 1Password, Parcel, Antidote FR & EN (réglable) et..... Starbucks copient le presse-papier sur mon appareil.
Les premières apps listées je comprends, je peux même désactiver ce comportement.
Pour Starbucks par contre, wtf ??? Ça sent vraiment mauvais cette histoire... on va en découvrir de belles avec cette fonction...
@David Finder
Starbucks c’est pour écrire le bon prénom sur le gobelet...
😁
@xDave
Ça doit être ça ! 🤣
@David Finder
Tu peux désactiver la lecture du presse-papiers également pour Parcel ? J'ai regardé les réglages mais je n'ai rien trouvé.
@bidibout
Ah non, en effet pas pour Parcel...
Mais il ne le fait pas systématiquement. Seulement quand tu veux ajouter un numéro de suivi pour une livraison. Donc ça a l’air honnête pour le coup, et pas affublé de ce « bug ».
@David Finder
Merci 👍🏻
RT France copie également le contenu du presse papier.
Il n’existent pas de base légale pour dénoncer ces comportements et sanctionner les éditeurs?
quand tu installes un truc, tu acceptes des conditions d'utilisateur, bref un contrat. tu peux plus demander de poursuites, tu as installé tout seul le programme.
il faut en plus montrer qu'eux font l'utilisation non légale de leur programme.
et puis même Messages garde tous les mots en mémoire, parce que ça l'aide de reconstruire son dico personnel, dans les cas de l'utilisation de langues exotiques, non pris en compte par le système. en règle générale on fait confiance aux éditeurs des programmes qu'on installe. c'est comme chez notre medecin. on lui fait confiance. si on a plus de confiance il faut trouver un autre.
@marenostrum
Ce n’est pas parce que tu acceptes les conditions d’utilisation que tu ne peux pas les dénoncer après ou encore les attaquer.
Je doute que les conditions d’utilisation de LinkdIn indiquent que l’app cache en fait un keylogger.
Par ailleurs, y’a qu’à prendre exemple sur les procès contre en ce moment pour savoir que tu peux très bien attaquer des conditions d’utilisation après coup. Le fait de les avoir acceptées ne les rend pas honnêtes si elles ne le sont pas.
il faut prouver la faute dans un procès.
@marenostrum
Oui. Mais donc comme tu le dis toi-même, si procès il y a, tu peux donc attaquer, même en ayant accepté les CGU.
@marenostrum
Il y a une différence entre garder les mots en local et transmettre le presse papier sur un serveur. Je ne pense pas que ce comportement soit décrit dans les conditions d’utilisation. C’est un peu comme si je te vend une peluche sans te dire qu’il y a une caméra cachée à l’intérieur. Enfin bon.
Alors c’est simple : ce type d’appli est à effacer avec un mail à l’éditeur qui explique pourquoi on l’a supprimé.
@supermars
Va falloir un script Raccourcis si ça continue.
LynkedIn est une app importante pour beaucoup de professionnels. y en a pas d'équivalent.
d'ailleurs te reconnaitre le mieux, construire ton profile, est leur job premier.
@marenostrum
Et ? Donc elle peut se permettre d’enregistrer la moindre frappe clavier de l’utilisateur ?
Accepte ça si tu veux, si en plus tu as lu les conditions d’utilisation, mais ça sera sans moi !
oui, si ça t'aide à retrouver rapidement un meilleur boulot pour toi, plus rémunératrice. ça sert faire la pub aussi leur site, vendre tes produits.
bref comme partout ailleurs, y a des avantages et des inconvénients. à l'utilisateur de trancher.
mais ici, les gens qui attaquent dans ce genre de fils, ne sont du tout des utilisateurs des services en question. leur attaque est moralisatrice.
@marenostrum
Es-tu sûr de savoir ce qu’est un keylogger ?
Nan parce qu’accepter ce genre de choses sous prétexte de pub (😳) ou pour un boulot mieux payé, tu peux tout aussi bien aller bosser en Corée du Nord !
Et NON, les attaques ne sont pas moralisatrices ! Ou alors tu n’as rien compris....
On a ici affaire avec une app qui enregistre TOUT ce que TU tapes sur ton clavier !!!
Perso, je préfère être un peu moins payé...
Je ne vois pas le rapport avec « leur attaque est moralisatrice »...
Et puis, que sais-tu des gens qui « attaquent » ici ? Penses-tu être le seul à utiliser LinkdIn ? Tu seras sûrement le seul, parmi les personnes présentes sur ce fil, à continuer de l’utiliser tant que ce « bug » ne sera pas résolu...
Mais bon, comme tu le dis si bien, à l’utilisateur de trancher...
comme je l'ai dit plus haut ton commentaire n'est que moralisatrice (ça parle en général, sur des supposés libertés individuelles, etc). et t'en es surement pas inscrit sur LinkedIm. tu ne l'utilises pas.
pour moi c'est pas un bug. eux ont besoin de te reconnaitre au mieux. parce que c'est leur rôle, leur boulot. un patron a besoin de reconnaitre au max sa recrue. pour qu'il soit sur de sa valeur ou l'utilité. sinon il va se tromper et perdre du temps, pour licencier et trouver un autre qui va le remplacer. etc. d'où l'aide de LinkedIn.
si on veut que personne nous reconnait, on utilise pas de tels services.
"tu peux tout aussi bien aller bosser en Corée du Nord"
la Corée du Nord n'a pas besoin de toi, et ne paye pas plus que l'occident. sinon elle serait remplit de candidats. pour plus d'argent il faut se vendre. il faut payer avec tes libertés, etc. c'est pas gratuit le gain. on le paye indirectement.
@marenostrum
Si tu sais tout, alors effectivement, je n’ai plus rien à dire. Sympas les échanges avec toi.
@marenostrum
La vache t’es un vainqueur toi 👌
@David Finder
« Tu seras sûrement le seul, parmi les personnes présentes sur ce fil, à continuer de l’utiliser tant que ce « bug » ne sera pas résolu... »
Heu, non, je vais quand même continuer à l’utiliser ;)
Sinon, tu n’arriveras à aucune discussion sensée avec marenostrum...
@Bigdidou
Je commence à m’en apercevoir, oui.
Et pour ma défense, tu n’étais pas encore sur ce fil quand j’ai écrit ce commentaire 😉
L’application Télé Loisirs copie le contenu du PP également.
« À ZDnet, un porte-parole a confirmé qu'il s'agissait d'un bug et non d'un comportement voulu. »
Ah les enfoirés de bugs ! On les aura un jour... mais pas aujourd’hui, parce qu’aujourd’hui, ils servent notre cause ! 😎
Pas cool ce genre de comportements.
C’est bien qu’Apple aide à les réduire.
Perso j’ai également pris l’habitude de copier le premier mot que je voyais après avoir copié collé un mot de passe quelque part.
Sinon pour ceux qui desinstallent Linkedin ou arrêtent de l’utiliser, c’est amusant.
Je suis curieux de connaître votre âge ou votre métier. C’est un peu comme si on apprenait que l’App de salesforce ou Photoshop faisait pareil.
Ne plus les utiliser serait un peu plus compliqué que de changer de client mail.
@Achylle_
« C’est bien qu’Apple aide à les réduire. »
Hum.
Si j’en crois SyMich, c’est pas certain... ;)
Les développeurs de ces apps n'y sont pour rien! C'est une anomalie qui vient directement d'un framework d'iOS et que j'avais plusieurs fois fait remonter.
Toutes les apps utilisant ce framework auront le même problème et iOS14 alertera de façon compulsive cette recopie de presse-papiers. C'est à Apple de corriger le bug!
Vous avez vraiment perdu toute objectivité sur ce site...
@SyMich
De quel Framework iOS parles-tu exactement ?
Si t’as des informations plus précise je suis preneur !
@SyMich
« Vous avez vraiment perdu toute objectivité sur ce site... »
Ça fait un certain temps.
Content que tu t’en aperçoive aussi ;)
@SyMich
Etrange ce que tu dis. Voir mon commentaire plus haut où j’ai testé toutes les apps de mon iPhone, et je n’ai jamais réussi à reproduire cette copie frénétique du presse-papier.
Une copie, oui. Une valse de copies, non.
Qu’il y ait un vrai problème avec un framework, je veux bien le croire. De là à enregistrer chaque frappe, là j’ai quelques doutes.
@David Finder
Je ne comprends pas tout dans cette histoire, certains parlent de copie du presse-papiers, d'autres d'interception de chaque frappe du clavier (ce qui n'est pas du tout la même chose), certains parlent d'un framework iOS buggué, d'autres d'un composant open source buggué et largement utilisé...
Quoi qu'il en soit TheVerge indique que 53 des 56 apps les plus populaires seraient concernées 😜
@r e m y
Bein si je comprends bien l’article, l’app LinkdIn copie le contenu du presse-papier « en continu », via iCloud. D’après la vidéo et sa légende, il est inscrit que l’app copie « every keystroke ».
Ça s’apparente donc à un keylogger.
Le mot est peut-être un peu fort, mais je le comprends comme ça, que ce soit ici ou sur The Verge.
Mais si je me trompe d’interprétation, je veux bien une explication.
@David Finder
Mais copier chaque frappe de touche (comme un keylogger) ou copier le contenu du presse-papiers ce n'est pas la même chose!
Ce qu'on tape au clavier ne passe pas automatiquement par le presse-papiers. C'est ce qu'on choisit de sélectionner puis de copier qui se retrouve dans le presse-papiers.
Je ne comprends donc pas ce mélange dans tout ce qu'on lit actuellement à ce sujet...
@r e m y
+1
@r e m y
Je sais bien. C’est pourtant ce que montre la vidéo ci-dessus, et c’est aussi ce que dit la personne qui a découvert cela.
@David Finder
Je suis dans la même interrogation... et ce n'est pas l'article de MacG qui permet d'y voir plus clair, le rédacteur ne semblant pas trouver de problème à mélanger "lecture du presse-papiers" et "interception de chaque frappe de clavier"☹️
@r e m y
On est bien d’accord. C’est assez compliqué comme problème.
Va falloir attendre avant que cette histoire ne soit démêlée pour connaître le vrai comportement de ces apps.
@SyMich
Sauf que ça n’arrive pas à toutes les apps...
@Krysten2001
On peut peut-être imaginer que toutes les apps n'utilisent pas ce framework buggué, si c'est bien là qu'est le problème...
TheVerge indique quand même que 53 des 56 apps les plus populaires ont le même problème.
@SyMich
Le problème vient donc de IOS ? Je me posais la question car justement le fait de copier coller et garder en mémoire ressemble plus à un comportement de l’os que d’une application en particulier.
Concernant Reddit, voici ce que The Verge publiait ce matin: https://www.theverge.com/2020/7/4/21313214/reddit-code-clipboard-privacy-copy-ios
Pour info. La bêta publique ipadOs est disponible.
@h-de-pierre
Un samedi ?? Y’a peu de chances...
Sur quel site as-tu eu cette info ?
@David Finder
Sur mon iPad mini. La mise à jour est en cours.
@h-de-pierre
Tu es sûr de ne pas avoir récupéré le profil d’installation sur un site avant ?
Parce que d’après le site , la beta publique n’est pas encore sortie.
Pages