Dos SDK de terceros permitieron la recolección secreta de datos de usuarios de Twitter y Facebook


aplicaciones sociales twitter facebook

Imagen: efekurnaz

Fb y Twitter están investigando un informe de investigadores de seguridad sobre dos kits de desarrollo de software program (SDK) de terceros que permitieron a los fabricantes de aplicaciones acceder y recopilar datos de usuarios sin autorización.

Un SDK es una biblioteca de software que los desarrolladores de aplicaciones incorporan en su código para automatizar ciertas operaciones y evitar escribir ese código específico a mano y perder un tiempo precioso.

Los SDK son muy populares en el ecosistema moderno de desarrollo de aplicaciones, pero usar un SDK también implica ceder parte del regulate de su aplicación a una entidad de terceros.

Problema de Twitter

El lunes 25 de noviembre Twitter divulgado que han recibido un informe sobre un SDK realizado por la plataforma de análisis de datos OneAudience. La compañía ofrece un SDK móvil para aplicaciones de Android e iOS que recopila datos sobre los usuarios de una aplicación para proporcionar información adicional para los creadores de aplicaciones sobre su audiencia.

Twitter dijo que el SDK de la compañía contenía características que le permitían recolectar información personal del usuario de una cuenta de Twitter sin autorización.

«Este problema no se debe a una vulnerabilidad en el software package de Twitter, sino a la falta de aislamiento entre los SDK dentro de una aplicación», explicó Twitter.

Lo que esto significa es que cuando los usuarios instalaron una aplicación móvil en su dispositivo y luego usaron la función Iniciar sesión con Twitter para iniciar sesión en esa aplicación, el SDK presente en la aplicación también recopiló en secreto información sobre ese perfil de Twitter.

La crimson social dijo que tenía «evidencia de que este SDK se utilizó para acceder a los datos personales de las personas». La información recopilada incluyó correo electrónico, nombre de usuario y último tweet. Un informe de CNBC sugirió que dos de las aplicaciones donde se detectó este comportamiento de recopilación de datos fueron Huge Sq. y Photofy.

Twitter no dijo cuántos usuarios se vieron afectados, pero dijo que solo los usuarios de Android se vieron afectados, ya que no hay evidencia de que la recopilación de datos se haya producido desde aplicaciones de iOS.

El gigante de las redes sociales dijo que notificó tanto a Google como a Apple sobre las capacidades secretas de recopilación de datos del usuario del SDK, por lo que los dos propietarios de la tienda de aplicaciones pueden tomar sus propias medidas contra las aplicaciones que usan el SDK de OneAudience.

Problema de Fb

El mismo problema también afectó a Facebook, pero las funciones de recolección de datos del usuario se detectaron en dos SDK: el primero period el mismo OneAudience SDK, mientras que el segundo era un SDK de la plataforma de monetización de datos MobiBurn.

El comportamiento de recopilación de datos funcionó de manera related a la anterior. Si los usuarios vincularon una aplicación de terceros con su cuenta de Facebook, las características en los dos SDK permitieron la recolección secreta de datos del usuario.

De las cuentas de Facebook, los dos SDK podrían haber recopilado subrepticiamente datos como el nombre, el correo electrónico y el género, dijo Facebook.

«Después de investigar, eliminamos las aplicaciones de nuestra plataforma por violar nuestras políticas de plataforma y emitimos cartas de cese y desistimiento contra Just one Viewers y Mobiburn», dijo un portavoz de Fb en un comunicado a CNBC, que reveló la historia ayer.

Al igual que Twitter, Fb dijo que planea notificar a «las personas cuya información creemos que probablemente se compartió después de haber otorgado permiso a estas aplicaciones para acceder a su información de perfil».

Los fabricantes de SDK responden

Después de la noticia de ayer, ambos fabricantes de SDK publicaron mensajes en sus sitios net alegando que solo proporcionaron las herramientas pero que no participaron en la recopilación de datos de ninguna manera, lo que culpó a los desarrolladores de aplicaciones móviles que abusaron de sus SDK.

Una declaración de audiencia:

Recientemente, se nos informó que la información particular de cientos de ID de dispositivos móviles podría haberse transferido a nuestra plataforma oneAudience. Estos datos nunca fueron destinados a ser recopilados, nunca agregados a nuestra base de datos y nunca utilizados. Actualizamos de forma proactiva nuestro SDK para asegurarnos de que esta información no se pudiera recopilar el 13 de noviembre de 2019. Luego enviamos la nueva versión del SDK a nuestros socios desarrolladores y exigimos que actualicen a esta nueva versión.

Declaración de MobiBurn:

MobiBurn no recopila, comparte ni monetiza los datos de Fb. MobiBurn actúa principalmente como intermediario en el negocio de datos con su paquete, es decir, una colección de SDK desarrollados por empresas de monetización de datos de terceros. MobiBurn no tiene acceso a los datos recopilados por los desarrolladores de aplicaciones móviles ni MobiBurn procesa ni almacena dichos datos. MobiBurn solo facilita el proceso al presentar a los desarrolladores de aplicaciones móviles a las empresas de monetización de datos.

Tras la carta de cese y desistimiento de Fb, las dos compañías han descontinuado sus respectivos SDK, que ya no están disponibles para descargar.

mobiburn-Statement.png "src =" https://zdnet2.cbsistatic.com/hub/i/2019/11/26/c853f742-d190-4213-bae6-8d278170eee3/b6b3bbc7e6dd57ab053abf63b6abdf5d/mobiburnngstatement.mobiburnngstatement.





Enlace a la noticia authentic