Faz pouco Facebook e Twitter anunciaram que dados de "centenas de usuários" podem ter sido mal utilizados depois que suas contas foram usadas para se conectar aos aplicativos da Google Play Store em dispositivos Android.
As empresas receberam relatório de pesquisadores de segurança que descobriu que um SDK chamado Um Público : deu a desenvolvedores terceiros acesso a dados pessoais. Isso inclui os endereços de e-mail, nomes de usuário e tweets mais recentes de pessoas que usaram sua conta do Twitter para acessar aplicativos como o Giant Square e Photofy.
Este problema não é devido a uma vulnerabilidade do software Twitter ou Facebook mas o fato de que os SDKs não são suficientemente isolados dentro de um aplicativo.
A empresa também disse que Alguém pode assumir o controle da conta do Twitter de outra pessoa por meio dessa vulnerabilidade, embora não haja evidências de que isso tenha acontecido.
“Recentemente, recebemos um relatório sobre um SDK móvel malicioso gerenciado por oneAudience. Estamos informando você hoje porque acreditamos que é nossa responsabilidade alertá-lo sobre incidentes que podem afetar a segurança de seus dados pessoais ou de sua conta do Twitter.
Nossa equipe de segurança determinou que o SDK malicioso, que pode ser integrado a um aplicativo móvel, pode explorar uma vulnerabilidade no ecossistema móvel para permitir o acesso a informações pessoais (endereço de e-mail, nome de usuário, último Tweet). Embora não tenhamos evidências que sugiram que o SDK foi usado para assumir uma conta do Twitter, é possível que alguém o faça.
“Descobrimos que este SDK foi usado para acessar os dados pessoais de alguns titulares de conta do Twitter usando Android. No entanto, não há evidências de que a versão iOS desse SDK malicioso tenha como alvo usuários do Twitter para iOS.
“Informamos o Google e a Apple sobre o SDK malicioso para que eles possam tomar outras medidas, se necessário. Informamos também nossos demais parceiros do setor.
“Notificaremos diretamente o Twitter para usuários do Android que podem ser afetados por este problema. Você não tem nenhuma ação a tomar neste momento. No entanto, se você acha que baixou um aplicativo malicioso de uma loja de aplicativos de terceiros, recomendamos removê-lo imediatamente.
Este aviso ocorre quando Facebook, Google e Twitter estão sujeitos a um escrutínio intensificado por reguladores, legisladores e usuários sobre o uso de dados pessoais por desenvolvedores terceirizados para rastrear e direcionar consumidores.
O problema tem sido particularmente preocupante desde março de 2018, quando relatórios revelaram que Cambridge Analytica acessou 87 milhões de perfis no Facebook, em parte para influenciar as eleições presidenciais de 2016 de Donald Trump nos EUA.
Um porta-voz do Facebook divulgou a seguinte declaração na divulgação de segunda-feira:
“Pesquisadores de segurança relataram recentemente duas falhas para nós, One Audience e Mobiburn, eles estavam abusando delas usando kits de desenvolvimento de malware em vários aplicativos disponíveis em lojas de aplicativos populares.
Após uma investigação, removemos os aplicativos de nossa plataforma por violar as regras de nossa plataforma e emitimos cartas de rescisão e suspensão contra One Audience e Mobiburn. Pretendemos notificar os indivíduos cujas informações acreditamos provavelmente foram compartilhadas, uma vez que eles deram a esses aplicativos permissão para acessar suas informações de perfil, como seu nome, endereço de e-mail e endereço de e-mail, sexo, entre outras informações que foram coletadas.
Mobiburn emitiu um comunicado na segunda-feira sobre a vulnerabilidade, dizendo que não coleta dados do Facebook, pois eles argumentam que o Mobiburn está apenas tornando o processo mais fácil ao apresentar empresas de monetização de dados a desenvolvedores de aplicativos móveis
"Apesar disso, Mobiburn encerrou todas as atividades até que nossa investigação de terceiros fosse concluída", disse ele. Mobiburn.