Nedávno Facebook a Twitter oznámily, že data „stovek uživatelů“ mohla být zneužita poté, co byly jejich účty použity k připojení k aplikacím obchodu Google Play na zařízeních Android.
Společnosti obdržely zprávu od bezpečnostních výzkumníků kdo zjistil, že volala SDK Jedno publikum les umožnilo vývojářům třetích stran přístup k osobním údajům. To zahrnuje nejnovější e-mailové adresy, uživatelská jména a tweety lidí, kteří používají svůj účet Twitter k přístupu k aplikacím, jako je Giant Square a Photofy.
Tento problém není způsoben chybou zabezpečení ze softwaru Twitter nebo Facebook ale skutečnost, že SDK nejsou dostatečně izolované v rámci aplikace.
Společnost to také uvedla Díky této chybě zabezpečení by někdo mohl převzít kontrolu nad účtem Twitter někoho jiného, i když neexistují žádné důkazy o tom, že se to stalo.
„Nedávno jsme obdrželi zprávu o škodlivé mobilní sadě SDK spravované společností oneAudience. Dnes vás informujeme, protože věříme, že je naší odpovědností varovat vás před událostmi, které mohou ovlivnit bezpečnost vašich osobních údajů nebo vašeho účtu Twitter.
Náš bezpečnostní tým zjistil, že škodlivá sada SDK, kterou lze integrovat do mobilní aplikace, by mohla zneužít chybu zabezpečení v mobilním ekosystému a umožnit přístup k osobním informacím (e-mailová adresa, uživatelské jméno, poslední Tweet). Ačkoli nemáme žádné důkazy, které by naznačovaly, že SDK byla použita k převzetí účtu na Twitteru, je možné, že to někdo dělá.
"Zjistili jsme, že tato sada SDK byla použita pro přístup k osobním údajům některých držitelů účtů Twitter pomocí systému Android." Neexistují však žádné důkazy o tom, že iOS verze této škodlivé sady SDK byla zaměřena na uživatele Twitteru pro iOS.
"Informovali jsme Google a Apple o škodlivém SDK, aby mohli v případě potřeby podniknout další kroky." Informujeme také naše další partnery v oboru.
„Budeme přímo informovat Twitter pro uživatele Androidu, kterých se tento problém může dotknout. V tuto chvíli nemáte co dělat. Pokud si však myslíte, že jste si stáhli škodlivou aplikaci z obchodu s aplikacemi třetích stran, doporučujeme vám ji okamžitě odebrat.
K tomuto varování dochází, když Facebook, Google a Twitter podléhají zvýšené kontrole ze strany regulačních orgánů, zákonodárců a uživatelů ohledně používání osobních údajů vývojáři třetích stran ke sledování a cílení na spotřebitele.
Tato otázka byla obzvláště znepokojivá od března 2018, kdy zprávy odhalily, že společnost Cambridge Analytica získala přístup k 87 milionům profilů na Facebooku, částečně proto, aby ovlivnila americké prezidentské volby Donalda Trumpa 2016 od prezidentských voleb 2016.
Mluvčí Facebooku zveřejnil následující prohlášení k pondělnímu zveřejnění:
"Bezpečnostní vědci nám nedávno oznámili dvě chyby, One Audience a Mobiburn, zneužívali je pomocí vývojových sad malwaru v různých aplikacích dostupných v populárních aplikačních obchodech."
Po vyšetřování jsme odstranili aplikace z naší platformy kvůli porušení pravidel naší platformy a vydali jsme společnosti One Audience a Mobiburn dopisy o ukončení a pozastavení. Plánujeme upozornit jednotlivce, jejichž informace, o kterých se domníváme, že byly pravděpodobně sdíleny, jakmile těmto aplikacím udělí oprávnění k přístupu k jejich profilovým informacím, jako je jejich jméno, e-mailová adresa a e-mailová adresa, pohlaví, mimo jiné shromážděné informace.
Mobiburn vydal v pondělí prohlášení o zranitelnosti, tvrdí, že neshromažďuje data z Facebooku, protože tvrdí, že Mobiburn tento proces jen usnadňuje tím, že vývojářům mobilních aplikací představuje společnosti zabývající se monetizací dat
„Mobiburn navzdory tomu ukončil veškeré aktivity, dokud nebylo dokončeno vyšetřování naší třetí strany,“ řekl. Mobiburn.