据Facebook和Twitter透露,一些第三方应用未经用户同意便获取了用户的个人信息。
这些第三方iOS和Android应用程序使用了恶意SDK。SDK被用来展示广告,不过专家们注意到,一旦使用这些应用程序将社交网络的用户登录到任一服务中,SDK就会静默访问其个人资料并收集信息,包括用户名,电子邮件地址和推文。
这些恶意SDK是由营销公司OneAudience开发的。推特已经将这个消息告知其用户。
“我们最近收到了一份有关由恶意SDK的报告。 这个问题不是由于Twitter软件中的漏洞所致,而是由于应用程序内的SDK之间缺乏隔离性。我们的安全团队已经确定,可以嵌入到移动应用程序中的恶意SDK可能会利用移动生态系统中的漏洞访问并获取个人信息(电子邮件,用户名,最新一条推文)。 ”
即使专家没有发现证据表明恶意SDK会被用来控制Twitter帐户,他们仍然没有排除黑客可能使用SDK进行攻击的可能性。
Twitter知道恶意SDK已经通过Android设备访问某些Twitter帐户的个人数据,但iOS设备还没有出现过类似的事件。
Twitter向Google和Apple以及其他同行报告了此事件,并呼吁采取相对应的措施来阻止包含其代码的恶意SDK和应用。
Facebook发现了两个具有类似目的SDK,它们分别是One Audience和Mobiburn。
据称,恶意SDK收集了个人资料信息,包括姓名,性别和电子邮件地址。
Facebook发言人告诉 The Register:
“安全研究人员最近向我们通报了One Audience和Mobiburn,他们收买开发人员,以在应用中使用恶意SDK。”
“经过调查后,我们根据违反平台政策的原因将其应用程序从平台上删除,并向One Audience和Mobiburn发出了终止信函。如果用户的操作可能使他们的身份信息遭到泄露,我们将提示他们保护好自己的姓名,邮箱和性别等信息。我们希望用户在允许第三方应用程序访问其社交媒体帐户时保持谨慎。”
oneAudience没有对此事件发表评论,但与此同时MobiBurn发表声明,否认其正在收集Facebook数据,并宣布对使用其SDK的第三方应用程序展开调查。
“MobiBurn没有收集,共享或分享来自Facebook的数据获利。 MobiBurn主要通过捆绑销售来充当数据业务的中介,例如捆绑第三方开发的SDK。 MobiBurn 无权访问移动应用程序开发人员收集的任何数据,也不处理或存储此类数据。 我们仅向移动应用程序开发人员介绍数据运营公司。不过MobiBurn目前已经停止了所有活动,直到我们结束对第三方的调查。”
消息来源:SecurityAffairs, 译者:r4938n,校审:吴烦恼
本文由 HackerNews.cc 翻译整理,封面来源于网络。
转载请注明“转自 HackerNews.cc ” 并附上原文链接
请登录后发表评论
注册