Facebook y Twitter advierten a los usuarios de una serie de aplicaciones móviles que recopilan secretamente información personal de sus perfiles de redes sociales.
Las aplicaciones se cargaron con kits de desarrollo de malware (SDK) que contienen información como la dirección de correo electrónico, los nombres y el género de los usuarios a través de sus cuentas de Facebook y Twitter. Los mismos SDK también fueron teóricamente capaces de hacerse cargo de la cuenta de Twitter de un usuario.
OneAudience y MobiBurn habrían sido los proveedores de SDK maliciosos, que prometen ayudar a los fabricantes de aplicaciones a generar ingresos. Según Facebook, ambas compañías estaban pagando a los desarrolladores para usar su SDK "en una serie de aplicaciones disponibles en tiendas de aplicaciones populares".
"Después de una investigación, eliminamos aplicaciones de nuestra plataforma por violar sus reglas y emitimos cartas de cese y abandono contra One Audience y Mobiburn", dijo Facebook en un comunicado. "Planeamos informar a las personas cuya información, en nuestra opinión, probablemente se compartió después de otorgar permiso a estas aplicaciones para acceder a su información de perfil, como su nombre, dirección de correo electrónico y dirección de correo electrónico". sexo ".
Curiosamente, Facebook se negó a revelar qué aplicaciones móviles se cargaron con el SDK malicioso. La declaración de la compañía también establece que el error no recopiló los datos personales de los usuarios, sino que se los pasó a terceros, una práctica que Facebook ha estado tratando de suprimir desde el escándalo de Cambridge Analytica.
Sin embargo, Twitter le dijo a PCMag que se había detectado un código informático problemático en al menos dos aplicaciones de Android, Giant Square y Photofy, especializadas en edición de fotos.
Recientemente recibimos un informe sobre un kit de desarrollo de malware disponible en tiendas de aplicaciones de terceros que podría haber puesto en peligro a algunas personas que usan Twitter para Android. Para proteger su cuenta, lo invitamos a leer el siguiente mensaje: https://t.co/zU0tYsGuZ2
– Soporte de Twitter (@TwitterSupport) 25 de noviembre de 2019
"Tenemos evidencia de que este SDK se utilizó para acceder a los datos personales de personas que poseen al menos algunos titulares de cuentas de Twitter que usan Android, pero no tenemos evidencia de que la versión iOS de este SDK malicioso esté dirigido a personas". que usan Twitter para iOS ", escribió la compañía. en un artículo de blog.
La compañía se negó a especificar el número exacto de usuarios atrapados en la recopilación de datos. Pero Twitter le dijo a PCMag que era un "pequeño grupo de personas" que usaban las aplicaciones involucradas y también se conectaban a través de Twitter.
"Informaremos directamente a las personas que usan Twitter para Android y que pueden haber sido afectadas por este problema", agregó la compañía en su blog. "No tiene nada que hacer en este momento, pero si cree que ha descargado una aplicación maliciosa de una tienda de aplicaciones de terceros, le recomendamos que la elimine de inmediato".
Aunque Facebook y Twitter usan la palabra "malicioso" para describir los kits de desarrollo de software (SDK), la recopilación de datos (desafortunadamente) parece bastante estándar en el mundo digital actual. Las empresas de marketing ofrecen constantemente formas de aspirar la información personal de los usuarios para orientarlos con anuncios, pero luego incrustan los detalles en las reglas de privacidad.
OneAudience y MobiBurn no respondieron de inmediato a una solicitud de comentarios. Sin embargo, MobiBurn dice en su sitio web que la compañía ha detenido su SDK este mes. La actividad en sí se centró en recopilar datos y transmitirlos a los socios de marketing de MobiBurn.
OneAudience también parece haber desconectado su SDK, diseñado para ayudar a los fabricantes de aplicaciones a descubrir información demográfica sobre sus usuarios. Esto incluyó la recopilación de datos sobre los "intereses, estilo de vida e intenciones de compra de los usuarios".
Facebook y Twitter dijeron que se enteraron de la existencia de una recopilación de datos no segura basada en una junta de investigadores de seguridad anónimos. "Hemos informado a Google y Apple del SDK malicioso para que puedan tomar otras medidas si es necesario", agregó Twitter.