Se han descubierto dos kits de desarrollo de software de terceros integrados por más de cientos de miles de aplicaciones de Android que tienen acceso no autorizado a los datos de los usuarios asociados con sus cuentas de redes sociales conectadas.
En una publicación de blog publicada ayer, Twitter reveló que un SDK desarrollado por OneAudience contiene un componente que viola la privacidad y que puede haber transmitido algunos de los datos personales de sus usuarios a los servidores de OneAudience.
Tras la divulgación de Twitter, Facebook lanzó hoy una declaración que revela que un SDK de otra compañía, Mobiburn , también está bajo investigación por una actividad maliciosa similar que podría haber expuesto a sus usuarios conectados con ciertas aplicaciones de Android a empresas de recolección de datos.
Tanto OneAudience como Mobiburn son servicios de monetización de datos que pagan a los desarrolladores para que integren sus SDK en las aplicaciones, que luego recopilan los datos de comportamiento de los usuarios y luego los utilizan con los anunciantes para el marketing dirigido.
En general, no se supone que los kits de desarrollo de software de terceros utilizados con fines publicitarios tengan acceso a su información de identificación personal, contraseña de cuenta o tokens de acceso secreto generados durante el proceso 'Iniciar sesión con Facebook' o 'Iniciar sesión con Twitter'.
Sin embargo, según se informa, ambos SDK maliciosos contienen la capacidad de recopilar datos no autorizados de forma sigilosa y no autorizada, a lo que de otro modo solo había autorizado los desarrolladores de aplicaciones para acceder desde sus cuentas de Twitter o Facebook.
Por lo tanto, el rango de datos expuestos se basa en el nivel de acceso que los usuarios afectados habían proporcionado al conectar sus cuentas de redes sociales a las aplicaciones vulnerables.
Estos datos generalmente incluyen las direcciones de correo electrónico de los usuarios, los nombres de usuario, las fotos, los tweets, así como los tokens de acceso secreto que podrían haber sido mal utilizados para tomar el control de sus cuentas de redes sociales conectadas.
https://www.cnbc.com/2019/11/25/facebook-and-twitter-says-users-gave-improper-access-to-personal-data.html
