Gần đây Facebook và Twitter thông báo rằng dữ liệu từ "hàng trăm người dùng" có thể đã bị sử dụng sai mục đích sau khi tài khoản của họ được sử dụng để kết nối với các ứng dụng Cửa hàng Google Play trên thiết bị Android.
Các công ty đã nhận được một báo cáo từ các nhà nghiên cứu bảo mật người đã phát hiện ra rằng một SDK được gọi là Một đối tượng les đã cấp cho các nhà phát triển bên thứ ba quyền truy cập vào dữ liệu cá nhân. Điều này bao gồm các địa chỉ email, tên người dùng và tweet gần đây nhất của những người đã sử dụng tài khoản Twitter của họ để truy cập các ứng dụng như Giant Square và Photofy.
Vấn đề này không phải do lỗ hổng bảo mật từ phần mềm Twitter hoặc Facebook nhưng thực tế là các SDK không được tách biệt đầy đủ trong một ứng dụng.
Công ty cũng cho biết rằng Ai đó có thể kiểm soát tài khoản Twitter của người khác thông qua lỗ hổng này, mặc dù không có bằng chứng nào cho thấy điều này đã xảy ra.
“Gần đây, chúng tôi đã nhận được báo cáo về một SDK di động độc hại do oneAudience quản lý. Chúng tôi thông báo cho bạn ngày hôm nay vì chúng tôi tin rằng chúng tôi có trách nhiệm cảnh báo bạn về những sự cố có thể ảnh hưởng đến bảo mật của dữ liệu cá nhân hoặc tài khoản Twitter của bạn.
Nhóm bảo mật của chúng tôi xác định rằng SDK độc hại, có thể được tích hợp vào ứng dụng di động, có thể khai thác lỗ hổng trong hệ sinh thái di động để cho phép truy cập thông tin cá nhân (địa chỉ email, tên người dùng, Tweet cuối cùng). Mặc dù chúng tôi không có bằng chứng nào cho thấy SDK đã được sử dụng để tiếp quản tài khoản Twitter, nhưng có thể ai đó đã làm vậy.
“Chúng tôi phát hiện ra rằng SDK này đã được sử dụng để truy cập dữ liệu cá nhân của một số chủ tài khoản Twitter sử dụng Android. Tuy nhiên, không có bằng chứng cho thấy phiên bản iOS của SDK độc hại này đã nhắm mục tiêu người dùng Twitter cho iOS.
“Chúng tôi đã thông báo cho Google và Apple về SDK độc hại để họ có thể thực hiện thêm hành động nếu cần. Chúng tôi cũng thông báo cho các đối tác khác của chúng tôi trong lĩnh vực này.
“Chúng tôi sẽ trực tiếp thông báo trên Twitter cho những người dùng Android có thể bị ảnh hưởng bởi vấn đề này. Bạn không có hành động nào để thực hiện vào lúc này. Tuy nhiên, nếu bạn cho rằng mình đã tải xuống ứng dụng độc hại từ cửa hàng ứng dụng của bên thứ ba, chúng tôi khuyên bạn nên xóa ứng dụng đó ngay lập tức.
Cảnh báo này xảy ra khi Facebook, Google và Twitter chịu sự giám sát chặt chẽ của các cơ quan quản lý, lập pháp và người dùng về việc các nhà phát triển bên thứ ba sử dụng dữ liệu cá nhân để theo dõi và nhắm mục tiêu người tiêu dùng.
Vấn đề đặc biệt đáng lo ngại kể từ tháng 2018 năm 87, khi các báo cáo tiết lộ rằng Cambridge Analytica đã truy cập 2016 triệu hồ sơ Facebook, một phần để ảnh hưởng đến cuộc bầu cử tổng thống Mỹ năm 2016 của Donald Trump từ cuộc bầu cử tổng thống năm XNUMX.
Người phát ngôn của Facebook đã đưa ra tuyên bố sau vào ngày thứ Hai được tiết lộ:
“Các nhà nghiên cứu bảo mật gần đây đã báo cáo cho chúng tôi hai lỗ hổng, One Audience và Mobiburn, họ đã lạm dụng chúng bằng cách sử dụng các bộ phát triển phần mềm độc hại trong các ứng dụng khác nhau có sẵn từ các cửa hàng ứng dụng phổ biến.
Sau khi điều tra, chúng tôi đã xóa các ứng dụng khỏi nền tảng của mình do vi phạm các quy tắc của nền tảng của chúng tôi và ban hành các thư chấm dứt và đình chỉ đối với One Audience và Mobiburn. Chúng tôi có kế hoạch thông báo cho những người có thông tin mà chúng tôi tin rằng có thể đã được chia sẻ sau khi họ cấp cho các ứng dụng này quyền truy cập thông tin hồ sơ của họ, chẳng hạn như tên, địa chỉ email và địa chỉ email, giới tính, cùng với các thông tin khác đã được thu thập.
Mobiburn đã đưa ra một tuyên bố vào thứ Hai về lỗ hổng bảo mật, nói rằng họ không thu thập dữ liệu từ Facebook vì họ cho rằng Mobiburn chỉ đang làm cho quá trình dễ dàng hơn bằng cách giới thiệu các công ty kiếm tiền từ dữ liệu cho các nhà phát triển ứng dụng di động
Ông nói: “Mặc dù vậy, Mobiburn đã ngừng mọi hoạt động cho đến khi cuộc điều tra bên thứ ba của chúng tôi hoàn tất. Mobiburn.