Les données de centaines d'utilisateurs Facebook et Twitter ont été exposées aux développeurs
Les données de centaines d'utilisateurs Facebook et Twitter ont été exposées aux développeurs,
à cause d'un SDK malveillant sur Android
Lundi, Facebook et Twitter ont annoncé que les données de « centaines d'utilisateurs » avaient peut-être été mal utilisées après que leurs comptes aient été utilisés pour se connecter aux applications Google Play Store sur des appareils Android. Jusqu'à présent, rien n'indique que les utilisateurs iOS ont été affectés.
Les sociétés ont reçu un rapport de chercheurs en sécurité qui ont découvert qu'un SDK appelé One Audience donnait aux développeurs tiers l'accès à des données personnelles. Cela inclut les adresses de messagerie, les noms d'utilisateur et les tweets les plus récents des personnes ayant utilisé leur compte Twitter pour accéder à des applications telles que Giant Square et Photofy.
La société a également déclaré qu’une personne pouvait peut-être prendre le contrôle du compte Twitter de quelqu'un d’autre par le biais de cette vulnérabilité, bien que rien ne prouve que cela se soit produit.
« Nous avons récemment reçu un signalement au sujet d'un kit de développement logiciel (SDK) mobile malveillant géré par oneAudience. Nous vous en informons aujourd'hui, car nous estimons qu'il relève de notre responsabilité de vous prévenir des incidents susceptibles d'impacter la sécurité de vos données personnelles ou de votre compte Twitter.
« Ce problème n'est pas dû à une vulnérabilité du logiciel Twitter, mais au fait que les SDK ne sont pas suffisamment isolés au sein d'une application. Notre équipe chargée de la sécurité a déterminé que le SDK malveillant, qui pouvait être intégré dans une application mobile, était susceptible d'exploiter une vulnérabilité de l'écosystème mobile pour permettre l'accès à des informations personnelles (adresse email, nom d'utilisateur, dernier Tweet). Bien que nous n'ayons aucune preuve suggérant que le SDK ait été utilisé pour prendre le contrôle d'un compte Twitter, il est possible qu'une personne puisse le faire.
« Nous avons constaté que ce SDK a été utilisé pour accéder aux données personnelles de certains titulaires de comptes Twitter utilisant Android. Cependant, rien ne montre que la version iOS de ce SDK malveillant ait ciblé les utilisateurs de Twitter pour iOS.
« Nous avons informé Google et Apple au sujet du SDK malveillant afin qu'ils puissent prendre d'autres mesures si nécessaire. Nous avons également informé nos autres partenaires du secteur.
« Nous préviendrons directement les utilisateurs de Twitter pour Android qui pourraient être concernés par ce problème. Vous n'avez aucune mesure à prendre pour le moment. Toutefois, si vous pensez avoir téléchargé une application malveillante depuis un magasin d'applications tiers, nous vous recommandons de la supprimer immédiatement ».
Cet avertissement intervient alors que Facebook, Google et Twitter font tous l'objet d'une surveillance accrue de la part des autorités de réglementation, des législateurs et des utilisateurs quant à l'utilisation des données personnelles par des développeurs externes pour suivre et cibler les consommateurs. La question est particulièrement préoccupante depuis mars 2018, lorsque des rapports ont révélé que la société d'analyse Cambridge Analytica avait accédé à tort à 87 millions de profils Facebook, en partie pour influencer l'élection présidentielle américaine de 2016 en faveur de Donald Trump lors de l'élection présidentielle de 2016.
Un porte-parole de Facebook a envoyé la déclaration suivante concernant la divulgation de lundi :
« Des chercheurs en sécurité nous ont récemment informés que deux acteurs malveillants, One Audience et Mobiburn, payaient les développeurs pour qu'ils utilisent des kits de développement de logiciels malveillants dans un certain nombre d'applications disponibles dans les magasins d'applications populaires. Après une enquête, nous avons supprimé les applications de notre plateforme pour violation des règles de notre plateforme et émis des lettres de cessation et de désistement contre One Audience et Mobiburn. Nous prévoyons d'informer les personnes dont les informations, selon nous, ont probablement été partagées, une fois qu'elles ont accordé à ces applications la permission d'accéder aux informations de leur profil, telles que leur nom, leur adresse électronique et leur sexe. Nous encourageons les utilisateurs à faire preuve de prudence lorsqu'ils choisissent les applications tierces pour lesquelles l'accès à leurs comptes de réseaux sociaux est autorisé ».
Mobiburn a publié une déclaration lundi au sujet de la vulnérabilité, affirmant qu'elle ne collectait pas les données de Facebook : « Mobiburn ne fait que faciliter le processus en présentant des sociétés de monétisation de données aux développeurs d’applications mobiles », a déclaré Mobiburn. « Malgré cela, Mobiburn a cessé toutes ses activités jusqu'à ce que notre enquête sur les tiers soit finalisée ».
Source : Twitter
Et vous ?
Sur quel système d'exploitation mobile êtes-vous ?
Voir aussi :
Répondre avec citation
Partager