Un fallo expone datos de cientos de usuarios de Facebook y Twitter en Android
Hace poco Facebook y Twitter anunciaron que los datos de “cientos de usuarios” pueden haber sido mal utilizados después de que sus cuentas fueron utilizadas para conectarse a las aplicaciones de Google Play Store en dispositivos Android.
Las compañías recibieron un informe de investigadores de seguridad que descubrieron que un SDK llamado One Audience les daba a los desarrolladores externos acceso a datos personales. Esto incluye las direcciones de correo electrónico, los nombres de usuario y los tweets más recientes de personas que han usado su cuenta de Twitter para acceder a aplicaciones como Giant Square y Photofy.
Este problema no se debe a una vulnerabilidad del software de Twitter o Facebook sino al hecho de que los SDK no están suficientemente aislados dentro de una aplicación.
La compañía también dijo que alguien podría tomar el control de la cuenta de Twitter de otra persona a través de esta vulnerabilidad, aunque no hay evidencia de que esto haya sucedido.
“Recientemente recibimos un informe sobre un SDK móvil malicioso administrado por oneAudience. Le informamos hoy porque creemos que es nuestra responsabilidad advertirle sobre incidentes que puedan afectar la seguridad de sus datos personales o su cuenta de Twitter.
Nuestro equipo de seguridad determinó que el SDK malicioso, que podría integrarse en una aplicación móvil, podría explotar una vulnerabilidad del ecosistema móvil para permitir el acceso a la información personal (dirección de correo electrónico, nombre de usuario, último Tweet). Aunque no tenemos evidencia que sugiera que el SDK se utilizó para tomar el control de una cuenta de Twitter, es posible que alguien lo haga.
“Descubrimos que este SDK se utilizó para acceder a los datos personales de algunos titulares de cuentas de Twitter que usan Android. Sin embargo, no hay evidencia de que la versión de iOS de este SDK malicioso se haya dirigido a usuarios de Twitter para iOS.
“Hemos informado a Google y Apple sobre el SDK malicioso para que puedan tomar más medidas si es necesario. También informamos a nuestros otros socios en el sector.
“Notificaremos directamente a los usuarios de Twitter para Android que puedan verse afectados por este problema. No tienes ninguna acción que tomar en este momento. Sin embargo, si cree que ha descargado una aplicación maliciosa de una tienda de aplicaciones de terceros, le recomendamos que la elimine de inmediato “.
Esta advertencia se produce cuando Facebook, Google y Twitter están sujetos a un mayor escrutinio por parte de reguladores, legisladores y usuarios sobre el uso de datos personales por parte de desarrolladores externos para rastrear y apuntar los consumidores.
El tema ha sido particularmente preocupante desde marzo de 2018, cuando los informes revelaron que Cambridge Analytica había accedido a 87 millones de perfiles de Facebook, en parte para influir en las elecciones presidenciales de 2016 de Donald Trump en Estados Unidos de las elecciones presidenciales de 2016.
Un portavoz de Facebook envió la siguiente declaración sobre la divulgación del lunes:
“Los investigadores de seguridad nos informaron recientemente dos fallos, One Audience y Mobiburn, estaban haciendo un abuso por usar kits de desarrollo de malware en varias aplicaciones disponibles en las tiendas de aplicaciones populares.
Después de una investigación, eliminamos las aplicaciones de nuestra plataforma por violar las reglas de nuestra plataforma y emitimos cartas de terminación y suspensión contra One Audience y Mobiburn. Planeamos notificar a las personas cuya información creemos que probablemente se haya compartido una vez que hayan otorgado permiso a estas aplicaciones para acceder a su información de perfil, como su nombre, dirección de correo electrónico y dirección de correo electrónico, sexo, entre otros datos que se hayan recabado.
Mobiburn emitió un comunicado el lunes sobre la vulnerabilidad, diciendo que no recopila datos de Facebook, ya que argumentan que Mobiburn solo está facilitando el proceso al presentar a las empresas de monetización de datos a los desarrolladores de aplicaciones móviles
“A pesar de esto, Mobiburn cesó todas las actividades hasta que finalizó nuestra investigación de terceros” dijo. Mobiburn.