for Nul-Dag
| November 26, 2019 — 12:44 GMT (12:44 GMT)
| Emne: Sikkerhed
Billede: efekurnaz
Facebook og Twitter er ved at undersøge en rapport fra sikkerhedsfirmaet om to tredje-parts software development kits (sdk ‘ er), der tillod app-producenter at få adgang til og indsamle brugerdata uden tilladelse.
En SDK er et software bibliotek, som app-udviklere at integrere i deres kode til at automatisere visse operationer, og spare sig selv fra at skrive, at specifikke kode i hånden og miste kostbar tid.
Sdk ‘er er meget populære i moderne app udvikling økosystem, men ved hjælp af en SDK indebærer også, at overgive nogle af dine app’ s-kontrol til en tredjepart enhed.
Twitter spørgsmål
Mandag, November 25, Twitter offentliggjort, at de har modtaget en rapport med en SDK, som data analytics platform OneAudience. Virksomheden tilbyder en mobil-SDK til Android-og iOS-apps, der indsamler data om en app brugere til at give yderligere indsigt i ca beslutningstagere om deres publikum.
Kvidre sagde selskabets SDK, der er indeholdt funktioner, så er det til at høste personlige bruger oplysninger fra en Twitter-konto uden tilladelse.
“Dette spørgsmål er ikke på grund af en sårbarhed i Twitter’ s software, men snarere den manglende isolering mellem sdk ‘ er i en ansøgning,” Twitter forklaret.
Hvad dette betyder er, at når brugere har installeret en mobil-app på deres enhed, og derefter Logge ind med Twitter funktion til at logge ind i denne app, SDK til stede i app også hemmeligt høstet oplysninger om, at Twitter-profil.
Det sociale netværk sagde, at det havde “beviser, at dette SDK blev brugt til at få adgang til folks personlige data.” Indsamlede oplysninger omfatter e-mail, brugernavn, og sidste tweet. En CNBC rapport foreslog, at to af de apps, hvor denne dataindsamling adfærd blev spottet var Giant-Pladsen og Photofy.
Twitter ikke sige, hvor mange brugere, der var påvirket, men sagde, at kun Android-brugere blev ramt, med ingen beviser for, at den dataindsamling, der har fundet sted inden for iOS apps.
Social networking gigant sagde, at det meddelt, at både Google og Apple om SDK ‘ s secret bruger data høst kapaciteter, så de to app store ejere kan tage deres egen indsats mod applikationer, der bruger OneAudience SDK.
Facebook spørgsmål
Det samme problem også påvirket Facebook, men bruger data høst funktioner blev spottet i to sdk ‘ er — den første var den samme OneAudience SDK, mens den anden var en SDK fra data indtjening platform MobiBurn.
Dataindsamlingen adfærd arbejdede på en lignende måde som ovenfor. Hvis brugerne knyttet en tredjeparts-app med deres Facebook-konto, har i de to sdk ‘ er, der er tilladt for hemmelige bruger data høst.
Fra Facebook-konti, de to sdk ‘ er kunne have skjulte indsamlede data såsom navn, e-mail, køn, Facebook sagde.
“Efter at have undersøgt, at vi fjerner apps fra vores platform for at overtræde vores platform politikker og udstedt advarselsbreve mod Et Publikum og Mobiburn,” en Facebook-talsmand sagde i en erklæring til CNBC, som brød historien i går.
Ligesom Twitter, Facebook sagde, at det er planlægning til at anmelde “folk, hvis oplysninger, vi mener, der sandsynligvis var delte, efter at de havde givet disse apps tilladelse til at få adgang til deres profil information.”
SDK beslutningstagere reagere
Efter nyheden brød i går, både SDK beslutningstagere lagt beskeder på deres hjemmesider, der hævder at de kun givet værktøjer, men blev ikke involveret i indsamling af data på nogen måde — flytte skylden til den mobile app udviklere, der har misbrugt deres sdk ‘ er.
OneAudience erklæring:
For nylig blev vi opmærksom på, at personlige oplysninger fra hundredvis af mobile IDs kan have været videre til vores oneAudience platform. Disse data var aldrig beregnet til at blive indsamlet, aldrig tilføjet til vores database og aldrig brugt. Vi proaktivt opdateret vores SDK til at sørge for, at disse oplysninger kan ikke indsamles i November 13, 2019. Vi så skubbet til den nye version af SDK ‘ et til vores partnere udvikler og krævede, at de opdatere til den nye version.
MobiBurn erklæring:
Ingen data fra Facebook indsamles, deles eller værdisættes ved MobiBurn. MobiBurn primært fungerer som et mellemled i data forretning med dets bundle, dvs, en samling af sdk ‘ er udviklet af tredjeparts-data monetarisering virksomheder. MobiBurn ikke har adgang til nogen oplysninger, der indsamles ved mobil-applikations-udviklere heller ikke MobiBurn proces eller opbevare sådanne data. MobiBurn kun letter processen ved at indføre mobile applikations-udviklere til data monetarisering virksomheder.
Efter Facebook ‘s ophøre uansvarlige brev, de to virksomheder har afbrudt deres respektive sdk’ er, som ikke længere er tilgængeligt for download.
Sikkerhed
Chrome, Edge, Safari hacket på elite Kinesisk hacking contest
Tusindvis af hackede Disney+ konti er allerede til salg på hacking fora
Cybersecurity er på vej ind i en ansættelse krise: Her er, hvordan vi løser problemet
Fastsættelse af data lækager i Jira (ZDNet YouTube)
Bedste sikkerhed i hjemmet af 2019: Professionel overvågning og DIY (CNET)
Hvordan til at styre sporing af placering på din iPhone i iOS 13 (TechRepublic)
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre
for Nul-Dag
| November 26, 2019 — 12:44 GMT (12:44 GMT)
| Emne: Sikkerhed