Dieciséis aplicaciones de Facebook capturadas en secreto compartiendo datos con terceros


Facebook

Imagen: Joshua Hoehne

Un equipo de académicos ha descrito esta semana un método que puede ayudar a identificar cuándo los desarrolladores de aplicaciones de Facebook comparten subrepticiamente datos de usuarios con terceros.

Llamada CanaryTrap, la técnica fue detallada por académicos de la Universidad de Iowa en un documento publicado el lunes titulado «CanaryTrap: detección del uso indebido de datos por aplicaciones de terceros en redes sociales en línea«.

En esencia, CanaryTrap gira en torno al concepto de un honeytoken.

En el sentido amplio del término, los honeytokens representan datos, tokens o archivos falsos que los expertos de TI plantan en su red. Cuando se accede o utiliza la información, los administradores pueden detectar actividad maliciosa.

En el contexto del documento técnico de CanaryTrap, los honeytokens eran direcciones de correo electrónico únicas que los académicos usaban para registrar cuentas de Facebook.

Para la investigación de CanaryTrap, después de registrar una cuenta, los investigadores instalaron una aplicación de Fb, la usaron durante 15 minutos y luego la desinstalaron de la cuenta.

canarytrap-process.png "src =" https://zdnet1.cbsistatic.com/hub/i/2020/07/02/0e4319f4-03ef-4b03-8ed5-76fde78424b4/canarytrap-process.png

Imagen: Farooqi et al.

Luego, los investigadores monitorearon la bandeja de entrada de correo electrónico de Honeytoken para detectar nuevo tráfico. Si la bandeja de entrada recibía nuevos correos electrónicos, estaba claro que la aplicación compartía los datos del usuario con un tercero.

Además, el equipo de investigación también dijo que utilizó la herramienta de transparencia publicitaria de Fb «¿Por qué estoy viendo esto?» para monitorear si un anunciante utilizó algún correo electrónico de Honeytoken para orientar a los usuarios con anuncios de Facebook.

canarytrap.png "src =" https://zdnet3.cbsistatic.com/hub/i/2020/07/02/8ffdb88a-ae3d-44b8-b68c-e95221c98bb9/canarytrap.png

Imagen: Farooqi et al.

El equipo académico dijo que probaron 1.024 aplicaciones de Fb utilizando su técnica CanaryToken e identificaron 16 aplicaciones que compartían direcciones de correo electrónico con terceros y que los usuarios recibían correos electrónicos de remitentes desconocidos.

De las 16, solo nueve aplicaciones revelaron que tenían una relación con el remitente del correo electrónico. Esta relación generalmente period con un sitio net afiliado no relacionado o un socio comercial, pero incluso si las aplicaciones revelaban acuerdos de intercambio de datos, las bandejas de entrada generalmente recibían correos electrónicos no relevantes para la aplicación.

Sin embargo, siete aplicaciones no revelaron que compartían datos de usuarios con extraños. De estos siete, el equipo de investigación dijo que no pudieron determinar si los desarrolladores de la aplicación compartieron los datos del usuario con un tercero a propósito y sin la autorización del usuario, o si los datos del usuario se filtraron en línea como parte de un incidente de seguridad, como un servidor expuesto o una intrusión de hackers.

Sin embargo, como resultado, hubo un mal tráfico de correo electrónico, dijeron los investigadores, que revelaron que en el caso de los honeytokens compartidos por tres aplicaciones, las bandejas de entrada de correo electrónico recibían correos electrónicos con amenazas de sextortion, spam y otras estafas por correo electrónico.

Los investigadores dijeron que solo encontraron 16 aplicaciones involucradas en este comportamiento (enumeradas a continuación), pero esto fue porque solo usaron una pequeña muestra de 1,024 aplicaciones. Si se van a probar más aplicaciones, los investigadores esperan encontrar más aplicaciones que compartan datos de usuarios con terceros.

canarytrap-apps.png "src =" https://zdnet2.cbsistatic.com/hub/i/2020/07/02/b70261e1-eeeb-43f9-acc1-fa20295dd7f7/canarytrap-apps.png

Imagen: Farooqi et al.

Académicos de código abierto de investigación de CanaryTrap y herramientas asociadas en GitHub. Dijeron que compartieron CanaryTrap «para ayudar a los perros guardianes independientes a detectar el mal uso de los datos compartidos con aplicaciones de terceros sin necesidad de la cooperación de las redes sociales en línea».

Además, el equipo de investigación también realizó una investigación adicional contra las 1.024 aplicaciones, con los siguientes hallazgos:

Un portavoz de Facebook reconoció nuestra solicitud de comentarios, pero dijo que la compañía aún estaba analizando el documento de CanaryTrap.

Sin embargo, la pink social es muy consciente de su problema de «desarrollador de aplicaciones no autorizadas» y, en los últimos años, ha tomado medidas para eliminar las manzanas podridas de su foundation de desarrolladores.

Durante el año pasado, Facebook demandó a varios desarrolladores y modificó sus términos de servicio y políticas de desarrolladores para otorgarse más poder para hacer cumplir estrictos controles de datos de los usuarios.

El último cambio en la lucha de Facebook contra los abusos por parte de los desarrolladores de aplicaciones tuvo lugar el miércoles cuando Fb anunciado su conjunto más reciente de actualizaciones a sus Términos de plataforma y Políticas de desarrollador, que entrarán en vigencia el 31 de agosto de 2020.

La compañía dijo que los nuevos términos limitan la información que los desarrolladores pueden compartir con terceros sin recibir el consentimiento explícito de los usuarios, y también aseguran que los desarrolladores entiendan claramente que tienen la responsabilidad de proteger los datos de los usuarios si aprovechan la plataforma y la foundation de usuarios de Facebook para construir su propio negocio. . Teóricamente, estos nuevos cambios abordan las lagunas informadas por el equipo de CanaryTrap.



Enlace a la noticia initial