för Zero Day
| November 26, 2019 — 12:44 GMT (12:44 GMT)
| Ämne: Säkerhet
Bild: efekurnaz
Facebook och Twitter är att utreda en rapport från säkerhet forskare om två tredje-part software development kit (Sdk) som accepteras app beslutsfattare att få tillgång till och samla in användardata utan tillstånd.
Ett SDK är ett mjukvarubibliotek som app-utvecklare bädda in i sin kod för att automatisera vissa transaktioner, och skona sig från att skriva den specifika koden för hand och förlorar dyrbar tid.
Sdk är mycket populär i den moderna app-utveckling av ekosystem, men med hjälp av ett SDK innebär också att överlämna vissa av dina app-kontroll till en tredje-part.
Twitter fråga
På måndag, den 25 November, Twitter och avslöjade att de har fått en rapport om ett SDK som gjorts av data analytics plattform OneAudience. Företaget erbjuder en mobil SDK för Android-och iOS-appar som samlar in data på en app-användare för att ge ytterligare insikter för app-tillverkare om deras publik.
Twitter sade bolagets SDK som finns funktioner som gör det möjligt att skörda personliga användaren information från ett Twitter-konto utan tillstånd.
“Problemet är inte på grund av en sårbarhet i Twitter-program, utan snarare brist på isolering mellan Sdk-paket i appen,” Twitter förklaras.
Vad detta betyder är att när en användare har installerat en app på sin enhet och använde sedan Logga in med Twitter-funktionen för att logga in i appen, SDK finns i app också i hemlighet skördas information om att Twitter-profil.
Det sociala nätverket sa att det hade “bevis för att detta SDK användes för att komma åt människors personliga data.” Insamlad information som ingår e-post, användarnamn, och sista tweet. En CNBC rapporten föreslås två av de appar där denna datainsamling beteende sågs var Jätte Square och Photofy.
Twitter inte säga hur många användare påverkades, men sa att det bara Android-användare påverkades, med inga bevis på att insamling av data skett inifrån iOS-appar.
Sociala nätverk jätte sa att det anmälda både Google och Apple om SDK: s hemlighet användardata skörd kapacitet, så de två app store ägare kan vidta sina egna åtgärder mot appar som använder OneAudience SDK.
Facebook fråga
Samma fråga som också påverkade Facebook, men användaren data skörd funktioner sågs i två Sdk — den första var samma OneAudience SDK, medan den andra var ett SDK från data publiceringsplattform MobiBurn.
Datainsamlingen beteende arbetade på ett liknande sätt som ovan. Om användare länkas till en tredje part app med sitt Facebook-konto, har i två Sdk tillåtna för hemlighet användardata skörd.
Från Facebook-konton, de två Sdk kunde ha smyg insamlade data som namn, e-post och kön, Facebook sa.
“Efter att ha undersökt, vi tog bort den från appar till vår plattform för att de bryter mot vår plattform för politik och som utfärdats cease and desist brev mot En Publik och Mobiburn,” en Facebook talesperson sa i ett uttalande till CNBC, som bröt historien i går.
Precis som Twitter, Facebook sade att det planerar att meddela de personer vars information som vi tror var sannolikt gemensamt efter att de beviljat dessa appar åtkomst till sina uppgifter.”
SDK beslutsfattare svara
Efter beskedet kom i går, både SDK beslutsfattare postade meddelanden på sina webbplatser som hävdar att de bara gett verktygen, men inte var inblandade i den datainsamling som på något sätt — flytta skulden till den mobila app-utvecklare som missbrukat sin Sdk.
OneAudience uttalande:
Nyligen, vi fick rådet att personlig information från hundratals mobila IDs kan ha gått till våra oneAudience plattform. Denna data var aldrig avsedda att samlas in, aldrig lagt till i vår databas och aldrig används. Vi proaktivt uppdaterat vår SDK för att se till att denna information kan inte samlas in från den 13 November 2019. Vi därefter drivit den nya versionen av SDK till våra partners och utvecklare som krävs för att de uppdaterar till den nya versionen.
MobiBurn uttalande:
Inga data från Facebook samlas in, delas eller ett ekonomiskt värde i MobiBurn. MobiBurn i första hand fungerar som en mellanhand i de uppgifter som företagen med sina paket, dvs. en samling av Sdk som utvecklats av tredje part data monetarisering företag. MobiBurn har inte tillgång till någon data som samlas in av mobila applikationsutvecklare inte heller MobiBurn bearbeta eller lagra sådana data. MobiBurn bara underlättar processen genom att införa mobila applikationsutvecklare till data monetarisering företag.
Följande Facebook är cease and desist brev, de två företag som har avbrutit sina respektive Sdk, som inte längre är tillgängligt för nedladdning.
Säkerhet
Chrome, Edge, Safari hacka på elite Kinesisk hacka tävling
Tusentals hackad Disney+ konton finns redan till försäljning på hacking forum
It-säkerhet är på väg in i en rekrytering krisen: Här är hur vi kan åtgärda problemet
Fastställande av data läckor i Jira (ZDNet YouTube)
Bästa home security av 2019: Professionell övervakning och DIY (CNET)
Hur man styr plats spårning på din iPhone på iOS 13 (TechRepublic)
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
för Zero Day
| November 26, 2019 — 12:44 GMT (12:44 GMT)
| Ämne: Säkerhet