Nesen Facebook un Twitter paziņoja, ka, iespējams, ļaunprātīgi izmantoti dati no "simtiem lietotāju" pēc tam, kad viņu konti tika izmantoti, lai izveidotu savienojumu ar Google Play veikala lietojumprogrammām Android ierīcēs.
Uzņēmumi saņēma drošības pētnieku ziņojumu kurš atklāja, ka piezvanīja SDK Viena auditorija Les deva trešo pušu izstrādātājiem piekļuvi personas datiem. Tas ietver to cilvēku jaunākās e-pasta adreses, lietotājvārdus un twītus, kuri ir izmantojuši savu Twitter kontu, lai piekļūtu tādām lietotnēm kā Milzu laukums un Photofy.
Šī problēma nav saistīta ar ievainojamību no Twitter vai Faceboo programmatūrask, bet fakts, ka SDK nav pietiekami izolēti lietojumprogrammā.
Arī uzņēmums to teica Izmantojot šo ievainojamību, kāds varētu pārņemt kontroli pār kāda cita Twitter kontu, lai gan nav pierādījumu, ka tas būtu noticis.
“Nesen mēs saņēmām ziņojumu par ļaunprātīgu mobilo SDK, kuru pārvalda oneAudience. Mēs šodien jūs informējam, jo uzskatām, ka mūsu pienākums ir brīdināt jūs par incidentiem, kas var ietekmēt jūsu personas datu vai jūsu Twitter konta drošību.
Mūsu drošības komanda noteica, ka ļaunprātīgais SDK, ko varētu integrēt mobilajā lietojumprogrammā, varētu izmantot mobilās ekosistēmas ievainojamību, lai ļautu piekļūt personiskajai informācijai (e-pasta adrese, lietotājvārds, pēdējais čivināt). Lai gan mums nav pierādījumu, kas liecinātu, ka SDK tika izmantots Twitter konta pārņemšanai, iespējams, ka kāds to dara.
“Mēs noskaidrojām, ka šis SDK tika izmantots, lai piekļūtu dažu Twitter kontu īpašnieku personas datiem, izmantojot Android. Tomēr nav pierādījumu, ka šī ļaunprātīgā SDK iOS versija būtu mērķēta uz Twitter lietotājiem iOS.
“Mēs esam informējuši Google un Apple par ļaunprātīgo SDK, lai vajadzības gadījumā viņi varētu veikt turpmākas darbības. Mēs informējam arī citus mūsu sadarbības partnerus šajā nozarē.
“Mēs tieši informēsim Twitter lietotājus Android lietotājiem, kurus šī problēma var ietekmēt. Pašlaik jums nav jāveic nekādas darbības. Tomēr, ja domājat, ka esat lejupielādējis ļaunprātīgu lietotni no trešās puses lietotņu veikala, iesakām to nekavējoties noņemt.
Šis brīdinājums rodas, kad regulatori, likumdevēji un lietotāji pastiprināti kontrolē Facebook, Google un Twitter, lai trešo personu izstrādātāji izmantotu personas datus, lai izsekotu un mērķētu klientus.
Šis jautājums ir bijis īpaši satraucošs kopš 2018. gada marta, kad ziņojumi atklāja, ka Cambridge Analytica ir piekļuvusi 87 miljoniem Facebook profilu, daļēji lai ietekmētu Donalda Trampa 2016. gada ASV prezidenta vēlēšanas no 2016. gada prezidenta vēlēšanām.
Facebook pārstāvis pirmdienas atklāšanas laikā izlaida šādu paziņojumu:
“Drošības pētnieki nesen mums paziņoja par diviem trūkumiem - One Audience un Mobiburn. Viņi tos ļaunprātīgi izmantoja, izmantojot ļaunprātīgas programmatūras izstrādes komplektus dažādās lietojumprogrammās, kas pieejamas populāros lietojumprogrammu veikalos.
Pēc izmeklēšanas mēs no savas platformas noņēmām lietotnes par mūsu platformas noteikumu pārkāpšanu un izsniedzām izbeigšanas un apturēšanas vēstules pret One Audience un Mobiburn. Mēs plānojam informēt cilvēkus, kuru informācija, mūsuprāt, visticamāk, ir kopīgota, tiklīdz viņi ir devuši šīm lietotnēm atļauju piekļūt savai profila informācijai, piemēram, vārdam, e-pasta adresei un e-pasta adresei, dzimumam, kā arī savāktajai informācijai.
Mobiburn pirmdien izplatīja paziņojumu par ievainojamību, sakot, ka tas neapkopo datus no Facebook, jo viņi apgalvo, ka Mobiburn tikai atvieglo procesu, iepazīstinot mobilo lietotņu izstrādātājus ar datu monetizācijas uzņēmumiem
"Neskatoties uz to, Mobiburn pārtrauca visas darbības, līdz tika pabeigta mūsu trešās puses izmeklēšana," viņš teica. Mobiburn.