Un SDK malicioso, el culpable del acceso indebido a Facebook y Twitter
Así lo han revelado ambas compañías, donde confirman el acceso indebido a los datos de cientos de usuarios que hayan usado sus cuentas de Twitter o Facebook para iniciar sesión en aplicaciones de Android. El fallo parece que sólo ha afectado a usuarios de Android.
Facebook y Twitter recibieron el aviso por parte de una empresa externa de seguridad de que había una vulnerabilidad que estaba exponiendo datos de usuarios. Los investigadores descubrieron el kit de desarrollo llamado One Audience que daba a desarrolladores externos acceso a información personal de usuarios, como su nombre y direcciones de correo electrónico. Además, en el caso de Twitter, si usabas tu cuenta para acceder a otras aplicaciones, esas otras apps podían acceder a tus tweets más recientes incluso si el perfil era privado.
Entre las aplicaciones que usaban ese kit de desarrollo para acceder se encontraban Giant Square y Photofy. La cantidad de datos que las apps han podido recopilar dependen de los permisos que el usuario les haya dado, pero Facebook por ejemplo alerta que cualquier dato que se haya compartido con la app ha podido filtrarse. De hecho, era posible que una persona tomase el control de una cuenta de Twitter al completo, aunque no tienen evidencias de que eso haya ocurrido.
Revisa a qué apps les ha dado permiso en tu cuenta de Twitter o Facebook
Las vulnerabilidades no son culpa de las propias aplicaciones en sí, sino la falta de aislamiento del SDK dentro de la aplicación. One Audience y Mobiburn estaban pagando a desarrolladores para incluir estos kits de desarrollo maliciosos en diversas apps. Por ello, Facebook ha eliminado las apps que lo hayan usado de su plataforma, además de solicitar que dejen de llevar a cabo esa actividad.
Twitter y Facebook han afirmado que pronto empezarán a notificar a los posibles usuarios afectados de lo sucedido, y también ha informado a Google y a Apple de la vulnerabilidad para que puedan solucionar los fallos adecuadamente. Además, recomiendan a los usuarios que tengan un cuidado extremo a la hora de elegir a qué aplicaciones les dan permiso para acceder a su información de redes sociales. Además, es recomendable revisar de vez en cuando qué apps tienen acceso a nuestra cuenta en los ajustes de ambas plataformas.
Mobiburn, por su parte, se ha defendido afirmando que este mismo lunes han solucionado la vulnerabilidad, y que no han recopilado, compartido o monetizado datos de Facebook. Sin embargo, sea cierto o no, la realidad es que estaban haciendo uso del kit de desarrollo malicioso que ha ofrecido acceso a datos personales.
