SDK maliciosos de Android atrapados al acceder a datos de usuarios de Facebook y Twitter

Se han descubierto dos kits de desarrollo de software de terceros integrados por más de cientos de miles de aplicaciones de Android que tienen acceso no autorizado a los datos de los usuarios asociados con sus cuentas de redes sociales conectadas.

En una publicación de blog publicada ayer, Twitter reveló que un SDK desarrollado por OneAudience contiene un componente que viola la privacidad y que puede haber transmitido algunos de los datos personales de sus usuarios a los servidores de OneAudience.

Tras la divulgación de Twitter, Facebook lanzó hoy una declaración que revela que un SDK de otra compañía, Mobiburn , también está bajo investigación por una actividad maliciosa similar que podría haber expuesto a sus usuarios conectados con ciertas aplicaciones de Android a empresas de recolección de datos.

 

Tanto OneAudience como Mobiburn son servicios de monetización de datos que pagan a los desarrolladores para que integren sus SDK en las aplicaciones, que luego recopilan los datos de comportamiento de los usuarios y luego los utilizan con los anunciantes para el marketing dirigido.

En general, no se supone que los kits de desarrollo de software de terceros utilizados con fines publicitarios tengan acceso a su información de identificación personal, contraseña de cuenta o tokens de acceso secreto generados durante el proceso ‘Iniciar sesión con Facebook’ o ‘Iniciar sesión con Twitter’.

Sin embargo, según se informa, ambos SDK maliciosos contienen la capacidad de recopilar datos no autorizados de forma sigilosa y no autorizada, a lo que de otro modo solo había autorizado los desarrolladores de aplicaciones para acceder desde sus cuentas de Twitter o Facebook.

«Este problema no se debe a una vulnerabilidad en el software de Twitter, sino a la falta de aislamiento entre los SDK dentro de una aplicación», aclaró Twitter al revelar sobre el incidente de recopilación de datos.

Por lo tanto, el rango de datos expuestos se basa en el nivel de acceso que los usuarios afectados habían proporcionado al conectar sus cuentas de redes sociales a las aplicaciones vulnerables.

Estos datos generalmente incluyen las direcciones de correo electrónico de los usuarios, los nombres de usuario, las fotos, los tweets, así como los tokens de acceso secreto que podrían haber sido mal utilizados para tomar el control de sus cuentas de redes sociales conectadas.

«Si bien no tenemos evidencia que sugiera que esto se utilizó para tomar el control de una cuenta de Twitter, es posible que una persona pueda hacerlo», dijo Twitter.

«Tenemos evidencia de que este SDK se usó para acceder a los datos personales de las personas para al menos algunos titulares de cuentas de Twitter que usan Android; sin embargo, no tenemos evidencia de que la versión iOS de este SDK malicioso esté dirigido a personas que usan Twitter para iOS».

Twitter también informó a Google y Apple sobre los SDK maliciosos y sugirió a los usuarios que simplemente eviten descargar aplicaciones de tiendas de aplicaciones de terceros y revisen periódicamente las aplicaciones autorizadas .

Mientras tanto, en un comunicado proporcionado a CNBC , Facebook confirmó que ya había eliminado las aplicaciones de su plataforma por violar sus políticas y emitió cartas de cese y desistimiento contra One Audience y Mobiburn.

«Los investigadores de seguridad nos notificaron recientemente sobre dos actores malos, One Audience y Mobiburn, que pagaban a los desarrolladores para que usaran kits de desarrollo de software malicioso (SDK) en varias aplicaciones disponibles en tiendas de aplicaciones populares», dijo Facebook.

En respuesta a esto, OneAudience anunció que cerró su SDK y también proporcionó una declaración que decía: «estos datos nunca fueron destinados a ser recopilados, nunca agregados a nuestra base de datos y nunca utilizados».

«Actualizamos de manera proactiva nuestro SDK para asegurarnos de que esta información no se pudiera recopilar el 13 de noviembre de 2019. Luego enviamos la nueva versión del SDK a nuestros socios desarrolladores y exigimos que actualicen a esta nueva versión», dijo OneAudience.

Ambas compañías de redes sociales ahora planean informar en breve a sus usuarios que pueden haber sido afectados por este problema.

Fuente: https://thehackernews.com/2019/11/sdk-twitter-facebook-android.html

Daniel Perez

Daniel Perez

Dejar un comentario

Este sitio web utiliza cookies para garantizar que obtenga la mejor experiencia. Más información