I dati privati ​​di alcuni utenti di Facebook e Twitter sono trapelati attraverso app dannose

Lunedì, Facebook e Twitter hanno dichiarato che i dati privati ​​di "centinaia dei loro utenti" sono stati compromessi da app Android di terze parti dannose. Le società di social media sono state informate da un team di ricercatori sulla sicurezza che hanno scoperto un kit per sviluppatori di software chiamato One Audience che ha permesso agli sviluppatori di accedere alle informazioni personali che non avrebbero dovuto.

Oltre a dati come indirizzi e-mail e nomi utente, la vulnerabilità ha anche rivelato i recenti tweet degli utenti se hanno effettuato l'accesso a quelle app dannose con il loro account Twitter. Mentre il rapporto non condivide dettagli sulle app Android, CNBC afferma che le app di fotoritocco popolari come Giant Square e Photofy potrebbero essere tra queste – la prima delle quali è già stata rimossa dal Google Play Store.

Il problema, come ci si aspetterebbe, non ha avuto origine a causa di sviste in Twitter e nei framework di Facebook. Invece, le aziende suggeriscono che è stato causato dalla mancanza di sufficiente isolamento tra i vari kit di sviluppatori software all'interno di una singola app su Android.

La maggior parte delle app oggi utilizza molteplici strumenti esterni per abilitare servizi diversi come pubblicità e analisi. Dal momento che, secondo Twitter, non c'era un insieme rigoroso di muri di sicurezza per separare ciascuno di essi, l'SDK di OneAudience era in grado di attingere al resto.

"Sebbene non abbiamo prove che suggeriscano che questo sia stato utilizzato per assumere il controllo di un account Twitter, è possibile che una persona possa farlo", ha aggiunto Twitter in un post sul blog .

“Recentemente i ricercatori della sicurezza ci hanno informato di due cattivi attori, One Audience e Mobiburn, che stavano pagando gli sviluppatori per utilizzare kit di sviluppatori di software dannosi (SDK) in una serie di app disponibili nei famosi app store. Dopo aver indagato, abbiamo rimosso le app dalla nostra piattaforma per violazione delle nostre politiche sulla piattaforma e pubblicato lettere di smettere e desistere contro One Audience e Mobiburn ", ha detto un portavoce di Facebook.

Anche se Twitter ha individuato la violazione delle carenze di Android, non è ancora chiaro come l'SDK di OneAudience abbia rubato i dati privati ​​degli utenti. Le API di autenticazione di Facebook e Twitter non dovrebbero in primo luogo condividere informazioni direttamente con partner di terze parti. Facebook menziona la violazione che ha colpito gli utenti che hanno concesso alcune autorizzazioni per le app prima di leggere ciò che stavano cedendo.

Twitter e Facebook hanno informato Google e Apple della vulnerabilità, ma non hanno commentato se hanno intenzione di riprogrammare le loro app per evitare che una violazione del genere si ripeta in futuro.

All'inizio di questo mese, un bug di Facebook ha dato alla sua app l'accesso in background alle telecamere degli utenti iOS e una settimana prima è stato scoperto che i dati privati ​​di migliaia di membri del gruppo Facebook erano stati compromessi .