FB Twitter
Facebook / MetaTwitter

Encontrados SDKs Android maliciosos com acesso a dados de usuários de Facebook e Twitter

3 Minutos de Leitura
Desenvolvedores foram pagos para espalhar aplicativos que acessavam dados de forma não autorizada.
Foto: nakedsecurity.sophos.com | ShutterShock

Dois kits de desenvolvimento de software de terceiros integrados em centenas de milhares de aplicativos Android foram pegos acessando dados dos usuários associados às suas contas de mídia social conectadas sem autorização.

Em um post publicado ontem, o Twitter revelou que um SDK desenvolvido pela empresa OneAudience contém um componente que viola a privacidade que pode ter passado, ainda que parcialmente, dados pessoais de seus usuários para os servidores OneAudience.

Após a divulgação do Twitter, o Facebook divulgou hoje um comunicado revelando que um SDK de outra empresa, Mobiburn, também está sob investigação por atividade semelhante e pode ter exposto seus usuários conectados a determinados aplicativos Android a empresas de coleta de dados (phishing data scam).

[+] Bradesco Financiamentos confirma vazamento de dados de 53 mil clientes. Confira

O OneAudience e o Mobiburn são serviços onde dados são monetizados que pagam aos desenvolvedores pela integração seus SDKs aos respectivos aplicativos, que coletam dados comportamentais dos usuários e os usam para direcionar marketing.

Em geral, os kits de desenvolvimento de software (SDK’s) de terceiros usados ​​para fins de publicidade não costumam ter acesso a suas informações de identificação pessoal, senha da conta ou tokens de acesso secreto gerados durante o processo ‘Login com Facebook’ ou ‘Login com Twitter’.

No entanto, a princípio, esses dois SDKs maliciosos tinha essa capacidade furtiva de coletar de forma não autorizada esses dados pessoais, que, por vias normais, precisaria de sua autorização expressa para serem acessados a partir de suas contas do Twitter ou Facebook pelos desenvolvedores de aplicativos.

“Esse problema não se deve a uma vulnerabilidade no software do Twitter, mas à falta de isolamento entre SDKs dentro de um aplicativo.” 

Twitter ao revelar sobre o incidente de coleta de dados.

Portanto, a faixa de dados expostos é baseado no nível de acesso que os usuários afetados forneceram ao conectar suas contas de mídia social aos aplicativos atingidos.

Esses dados geralmente incluem os endereços de e-mail, nomes de usuários, fotos, tweets e tokens de acesso secretos que poderiam ter sido utilizados de forma escusa para assumir o controle de suas contas de mídia social conectadas.

[+] BC estuda uso de criptografia pós-quântica para melhorar segurança do PIX. Entenda

“Embora não tenhamos evidências para sugerir que isso possa ter sido usado para controlar uma conta no Twitter, é possível que uma pessoa possa fazê-lo.

Temos evidências de que esse SDK foi usado para acessar dados pessoais de quem usa pelo menos alguns contas titulares no Twitter usando o Android; no entanto, não temos evidências de que a versão para iOS desse SDK malicioso tenha como alvo pessoas que usam o Twitter para iOS”.

Twitter, em resposta ao alerta de SDK’s maliciosos.

O Twitter também informou o Google e a Apple sobre os SDKs maliciosos e sugeriu aos usuários que simplesmente evitem o download de aplicativos de lojas de aplicativos de terceiros e que analise-se periodicamente os aplicativos com autorizações múltiplas.

Enquanto isso, em um comunicado enviado à rede de notícias americana CNBC, o Facebook confirmou que já havia removido os aplicativos de sua plataforma por violar políticas e emitiu cartas de cessar-e-desistir contra o One Audience e Mobiburn.

“Pesquisadores de segurança nos notificaram recentemente sobre ambos, One Audience e Mobiburn, que estavam pagando aos desenvolvedores o uso de SDKs (maliciosos) para desenvolvedores de software em vários aplicativos disponíveis em lojas de aplicativos populares.”

Facebook, sobre medidas tomadas contra os SDK’s maliciosos

[+] Conheça métodos além das senhas para preservar sua segurança digital. Saiba mais

Em resposta a isso, a OneAudience anunciou o desligamento de seu SDK e também forneceu uma declaração:

 “Esses dados nunca foram destinados a serem coletados, nunca adicionados ao nosso banco de dados e nunca usados.

“Atualizamos proativamente nosso SDK para garantir que essas informações não pudessem ser coletadas em 13 de novembro de 2019. Em seguida, enviamos a nova versão do SDK aos nossos parceiros desenvolvedores e exigimos que eles atualizem para esta nova versão”. 

OneAudience, sobre a alegação de captação ilegal de dados

Agora, ambas as mídias sociais envolvidas planejam informar quanto antes a usuários que podem ter sido afetados por esse problema.


Receba as Vagas TI e Notícias de Tecnologia em seu Celular

Siga o Programadores Brasil no Google Notícias (CLIQUE AQUI) para receber Vagas de Ti e Notícias de Tecnologia em seu Celular.


Deixe o seu comentário

O seu endereço de e-mail não será publicado.

Leia Também

Últimas Notícias