Récemment Facebook et Twitter ont annoncé que les données de «centaines d'utilisateurs» pourraient avoir été mal utilisées après que leurs comptes aient été utilisés pour se connecter aux applications Google Play Store sur les appareils Android.
Les entreprises ont reçu un rapport de chercheurs en sécurité qui a découvert qu'un SDK a appelé Un public les a donné aux développeurs tiers accès aux données personnelles. Cela inclut les adresses e-mail, les noms d'utilisateur et les tweets les plus récents des personnes qui ont utilisé leur compte Twitter pour accéder à des applications telles que Giant Square et Photofy.
Ce problème n'est pas dû à une vulnérabilité depuis le logiciel Twitter ou Facebook mais le fait que les SDK ne sont pas suffisamment isolés dans une application.
La société a également déclaré que Quelqu'un pourrait prendre le contrôle du compte Twitter de quelqu'un d'autre grâce à cette vulnérabilité, bien qu'il n'y ait aucune preuve que cela s'est produit.
«Nous avons récemment reçu un rapport sur un SDK mobile malveillant géré par oneAudience. Nous vous informons aujourd'hui car nous pensons qu'il est de notre responsabilité de vous avertir des incidents pouvant affecter la sécurité de vos données personnelles ou de votre compte Twitter.
Notre équipe de sécurité a déterminé que le SDK malveillant, qui pourrait être intégré dans une application mobile, pouvait exploiter une vulnérabilité dans l'écosystème mobile pour permettre l'accès à des informations personnelles (adresse e-mail, nom d'utilisateur, dernier Tweet). Bien que nous n'ayons aucune preuve suggérant que le SDK a été utilisé pour prendre en charge un compte Twitter, il est possible que quelqu'un le fasse.
«Nous avons constaté que ce SDK était utilisé pour accéder aux données personnelles de certains titulaires de compte Twitter utilisant Android. Cependant, rien ne prouve que la version iOS de ce SDK malveillant ait ciblé les utilisateurs de Twitter pour iOS.
«Nous avons informé Google et Apple du SDK malveillant afin qu'ils puissent prendre des mesures supplémentaires si nécessaire. Nous informons également nos autres partenaires du secteur.
«Nous informerons directement Twitter pour les utilisateurs d'Android susceptibles d'être concernés par ce problème. Vous n'avez aucune action à entreprendre pour le moment. Cependant, si vous pensez avoir téléchargé une application malveillante à partir d'un magasin d'applications tiers, nous vous recommandons de la supprimer immédiatement.
Cet avertissement se produit lorsque Facebook, Google et Twitter sont soumis à un examen approfondi de la part des régulateurs, des législateurs et des utilisateurs sur l'utilisation de données personnelles par des développeurs tiers pour suivre et cibler les consommateurs.
Le problème est particulièrement préoccupant depuis mars 2018, lorsque des rapports ont révélé que Cambridge Analytica avait accédé à 87 millions de profils Facebook, en partie pour influencer l'élection présidentielle américaine de Donald Trump en 2016 à partir de l'élection présidentielle de 2016.
Un porte-parole de Facebook a publié la déclaration suivante lors de la divulgation de lundi:
«Les chercheurs en sécurité nous ont récemment signalé deux failles, One Audience et Mobiburn, ils en abusaient en utilisant des kits de développement de logiciels malveillants dans diverses applications disponibles dans les magasins d'applications populaires.
Après une enquête, nous avons supprimé les applications de notre plate-forme pour violation des règles de notre plate-forme et émis des lettres de résiliation et de suspension à l'encontre de One Audience et Mobiburn. Nous prévoyons d'informer les personnes dont nous pensons que les informations ont probablement été partagées une fois qu'elles ont autorisé ces applications à accéder aux informations de leur profil, telles que leur nom, leur adresse e-mail et leur adresse e-mail, leur sexe, entre autres informations qui ont été collectées.
Mobiburn a publié lundi une déclaration sur la vulnérabilité, disant qu'il ne collecte pas de données sur Facebook, car ils affirment que Mobiburn ne fait que faciliter le processus en présentant des entreprises de monétisation de données aux développeurs d'applications mobiles
«Malgré cela, Mobiburn a cessé toutes ses activités jusqu'à ce que notre enquête tierce soit terminée», a-t-il déclaré. Mobiburn.