Detectan SDK maliciosos de Android accediendo a datos de usuarios de Facebook y Twitter

Se han descubierto dos kits de desarrollo de software de terceros integrados por más de cientos de miles de aplicaciones de Android que tienen acceso no autorizado a los datos de los usuarios asociados con sus cuentas de redes sociales conectadas.

Twitter publicó en su blog ayer, que un SDK desarrollado por OneAudience contiene un componente que viola la privacidad y que puede haber transmitido algunos de los datos personales de sus usuarios a los servidores de OneAudience.

Luego de la divulgación de Twitter, Facebook lanzó hoy una declaración que revela que un SDK de otra compañía, Mobiburn, también está bajo investigación por una actividad maliciosa similar que podría haber expuesto a sus usuarios conectados con ciertas aplicaciones de Android a empresas de recolección de datos.

Tanto OneAudiencie como Mobiburn son servicios de monetización de datos que pagan a los desarrolladores para que integren sus SDK en las aplicaciones, que luego recopilan los datos de comportamiento de los usuarios y luego los utilizan con los anunciantes para el marketing dirigido.

En general, no se supone que los kits de desarrollo de software de terceros utilizados con fines publicitarios, tengan acceso a la información de identificación personal de los usuarios, contraseñas de cuenta o tokens de acceso secreto generados durante el proceso «Iniciar sesión con Facebook» o «Iniciar sesión con Twittwer».

Sin embargo, según los informes, ambos SDK maliciosos contenían la capacidad de recopilar datos no autorizados de forma sigilosa, a los que de otro modo solo había autorizado los desarrolladores de aplicaciones para acceder desde sus cuentas de Twitter o Facebook.

«Este problema no se debe a una vulnerabilidad en el software de Twitter, sino a la falta de aislamiento entre los SDK dentro de una aplicación», dijo Twitter.

Debido a esto, el rango de datos expuestos se basa en el nivel de acceso que los usuarios afectados habían proporcionado al conectar sus cuentas de redes sociales a las aplicaciones vulnerables.

Estos datos generalmente incluyen las direcciones de correo electrónico de los usuarios, los nombres de usuario, fotos, tweets, así como tokens de acceso secreto que podrían haber sido mal utilizados para tomar el control de las cuentas de redes sociales conectadas.

«Si bien no tenemos evidencia que sugiera que esto se utilizó para tomar el control de una cuenta de Twitter, es posible que una persona pueda hacerlo. Tenemos evidencia de que este SDK se usó para acceder a los datos personales de las personas para al menos algunos titulares de cuentas de Twitter que usan Android, sin embargo, no tenemos evidencia de que la versión iOS de este SDK malicioso esté dirigido a personas que usan Twitter para iOS», dijo Twitter.

Twitter también informó a Google y Apple acerca de los SDK maliciosos y sugirió a los usuarios que simplemente eviten descargar aplicaciones de tiendas de apps de terceros y revisen periódicamente las aplicaciones autorizadas.

Mientras tanto, en un comunicado proporcionado a CNBC, Facebook confirmó que ya había eliminado las aplicaciones de su plataforma por violar sus políticas y emitió cartas de cese y desistimiento contra One Audience y Mobiburn.

«Los investigadores de seguridad nos notificaron recientemente sobre dos actores malos, One Audience y Mobiburn, que pagaban a los desarrolladores para que usaran kits de desarrollo de software malicioso (SDK) en varias aplicaciones disponibles en tiendas de apps populares», dijo Facebook.

Por su parte, OneAudience anunció que cerró su SDK y también proporcionó una declaración en la que dice: «estos datos nunca fueron destinados a ser recopilados, nunca agregados a nuestra base de datos y nunca utilizados».

«Actualizamos de forma proactiva nuestro SDK para asegurarnos de que esta información no se pudiera recopilar el 13 de noviembre de 2019. Luego enviamos la nueva versión del SDK a nuestros socios desarrolladores y exigimos que actualicen a esta nueva versión», dijo OneAudience.


Gracias por apoyar el libre conocimiento con tu donación!
Bitcoin: bc1q4sw9260twfcxatj8mjp7358cyvrf8whzlelyhj
Ethereum: 0xFb93D2a3c9d1A0b83EE629c2dE1725BCa192e581
Litecoin: LbFduJmHvQXcpCnwfUT7aJ4DYoWSL3iQw8
Dogecoin: D7QQVqNR5rk215A4zd2gyzV9P2bLQtZHFV
Transferencia bancaria en México:
Cuenta CLABE: 646180192143715428 Nombre: Masterhacks LATAM Banco: STP

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *