לאחרונה פייסבוק וטוויטר הודיעו כי ייתכן שנעשה שימוש לרעה בנתונים של "מאות משתמשים" לאחר שהחשבונות שלהם שימשו להתחברות ליישומי חנות Google Play במכשירי Android.
החברות קיבלו דוח מחוקרי אבטחה שגילה ש- SDK התקשר קהל אחד les נתן למפתחי צד שלישי גישה לנתונים אישיים. זה כולל את כתובות הדוא"ל האחרונות, שמות משתמש וציוצים של אנשים שהשתמשו בחשבון הטוויטר שלהם כדי לגשת לאפליקציות כמו Giant Square ו- Photofy.
בעיה זו אינה נובעת מפגיעות מתוכנת טוויטר או Facebook אך העובדה ש- SDK אינם מבודדים מספיק בתוך יישום.
החברה גם אמרה את זה מישהו יכול להשתלט על חשבון הטוויטר של מישהו אחר באמצעות פגיעות זו, אם כי אין שום עדות לכך שזה קרה.
"לאחרונה קיבלנו דיווח על SDK נייד זדוני המנוהל על ידי oneAudience. אנו מודיעים לך היום מכיוון שאנו מאמינים כי באחריותנו להזהיר אותך מאירועים העלולים להשפיע על אבטחת הנתונים האישיים שלך או על חשבון הטוויטר שלך.
צוות האבטחה שלנו קבע כי ה- SDK הזדוני, שיכול להשתלב ביישום נייד, יכול לנצל פגיעות במערכת האקולוגית הניידת כדי לאפשר גישה למידע אישי (כתובת דוא"ל, שם משתמש, ציוץ אחרון). למרות שאין לנו שום ראיות המצביעות על כך ש- SDK שימש להשתלטות על חשבון טוויטר, יתכן שמישהו יעשה זאת.
"גילינו ש- SDK זה שימש לגישה לנתונים האישיים של בעלי חשבונות טוויטר מסוימים באמצעות Android. עם זאת, אין שום עדות לכך שגרסת ה- iOS של SDK זדוני זה פנתה למשתמשי טוויטר ל- iOS.
"הודענו לגוגל ואפל על ה- SDK הזדוני כדי שיוכלו לנקוט בפעולות נוספות במידת הצורך. אנו גם מודיעים לשותפים האחרים שלנו בתחום.
"אנו נודיע ישירות לטוויטר על משתמשי אנדרואיד שעלולים להיות מושפעים מבעיה זו. אין לך שום פעולה לבצע בשלב זה. עם זאת, אם אתה חושב שהורדת אפליקציה זדונית מחנות אפליקציות של צד שלישי, אנו ממליצים להסיר אותה באופן מיידי.
אזהרה זו מתרחשת כאשר פייסבוק, גוגל וטוויטר נתונות לבדיקה מוגברת על ידי הרגולטורים, המחוקקים והמשתמשים בנוגע לשימוש במפתחים של צד שלישי בנתונים אישיים כדי לעקוב אחר צרכנים ולמקד אותם.
הנושא היה מדאיג במיוחד מאז מרץ 2018, כאשר הדיווחים העלו כי קיימברידג 'אנליטיקה ניגשה ל -87 מיליון פרופילי פייסבוק, בין השאר כדי להשפיע על הבחירות לנשיאות ארה"ב בדונלד טראמפ בשנת 2016 מהבחירות לנשיאות 2016.
דובר פייסבוק פרסם את ההצהרה הבאה על חשיפת יום שני:
"חוקרי אבטחה דיווחו לאחרונה על שני פגמים, One Audience ו- Mobiburn, הם התעללו בהם באמצעות ערכות פיתוח תוכנות זדוניות ביישומים שונים הזמינים בחנויות יישומים פופולריות.
לאחר חקירה הסרנו את הבקשות מהפלטפורמה שלנו בגין הפרת כללי הפלטפורמה והוצאנו מכתבי סיום והשעיה נגד One Audience ו- Mobiburn. אנו מתכננים להודיע לאנשים שכנראה המידע שלהם נמסר לאחר שנתנו לאפליקציות האלה הרשאה לגשת למידע הפרופיל שלהם, כגון שמם, כתובת הדוא"ל שלהם וכתובת הדוא"ל שלהם, מין, בין היתר מידע שנאסף.
מוביבורן פרסם ביום שני הצהרה על הפגיעות, באומרו שהיא לא אוספת נתונים מפייסבוק מכיוון שהם טוענים כי מוביבורן רק מקלה על התהליך על ידי הצגת חברות מונטיזציה של נתונים למפתחי אפליקציות לנייד.
"למרות זאת, מוביבורן הפסיקה את כל הפעילויות עד לסיום חקירת הצד השלישי שלנו", אמר. מובורן.