دسترسی SDK های مخرب اندرویدی به داده های کاربران فیس بوک و توییتر

کیت های تولید نرم افزار شخص ثالث  با ادغام با بیش از صد ها هزار برنامه اندرویدی، به داده های کاربرانی که از رسانه های اجتماعی استفاده می کنند، دسترسی غیر مجاز پیدا کردند.

در یکی از پست ها که دیروز منتشر شد، توییتر فاش کرد که یک SDK توسعه یافته بنام OneAudience شامل مولفه ای است که حریم خصوصی را نقص می کند و این امر ممکن است برخی از داده های کاربران را به سرور های OneAudience منتقل کند.

به دنبال افشای توییتر، فیس بوک نیز بیانیه ای را منتشر کرد که نشان می دهد SDK دیگری بنام Mobiburn به دلیل فعالیت های مشابه زیر نظر قرار گرفته شده است .

OneAudience و Mobiburn هر دو نوعی خدمات کسب در آمد از داده ها هستند که که به برنامه نویسان هزینه ای را پرداخت می کنند تا SDK ها را در با برنامه ادغام کنند و سپس داده هایی مربوط به رفتار کاربران را جمع آوری می کنند و از این داده ها برای تبلیغات در بازاریابی هدفمند استفاده می کنند.

به طور کلی کیت های توسعه نرم افزار شخص ثالث ، قرار نیست به اطلاعات شخصی ، گذرواژه ها یا موارد امنیتی دیگر شما برای ورود به حساب های کاربری فیس بوک یا توییتر دسترسی داشته باشند.

با این حال گزارش ها حاکی از آن است که این SKD های مخرب توانایی دسترسی غیر مجاز و مخفی به این داده های شخصی را دارند که در این غیر اینصورت توسعه دهندگان برنامه فقط به حساب فیس بوک یا توییتر شما دسترسی خواهند داشت.

توییتر در حالی که این مسئله را بیان می کرد توضیح داد که:” این مساله به دلیل آسیب پذیری در نرم افزار توییتر نیست بلکه  به دلیل جداسازی SKD ها داخل یک برنامه می باشد.”

بنابراین، دامنه داده های افشا شده مبتنی بر سطح دسترسی کاربران، تحت تاثیر قرار گرفته است در حالی که حساب های رسانه های اجتماعی آن ها را به برنامه های آسیب پذیر لینک می دهد.این داده ها معمولا شامل آدرس ایمیل کاربران، نام کاربری، عکس ها، توئیت ها و همچنین نشانه های دسترسی سری هستند.

توییتر بیان کرد که مدارکی وجود دارد که نشان می دهد از این SDK ها برای دسترسی به داده های شخصی مردم حداقل برای برخی از افرادی که دارای حساب کاربری توییتر در اندروید هستند استفاده شده است، اما هیچ مدرکی در دست نداریم که نشان دهد گوشی های IOS نیز هدف قرار داده شده اند.

توییتر همچنین گوگل و اپل را در مورد مورد این SDK های مخرب آگاه کرده است و به کاربران پیشنهاد می کند که از بارگیری برنامه ها از سایت ها و فروشگاه های شخص ثالث جلوگیری کنند و به صورت دوره ای برنامه های جدید و قدیمی را بررسی کنند و از سلامت آن ها اطمینان حاصل کنند.

در همین حال فیس بوک در یک بیانیه ارائه شده به CNBC تایید کرد که قبلا برنامه هایی را از پلت فرم خود به دلیل تخطی از سیاست هایش حذف کرده و نامه هایی را علیه OneAudience و Mobiburn صادر نموده است.

در واکش به این موضوع OneAudience اعلام کرد که SDK های خود را خاموش کرده و همچنین بیانیه ای را ارائه کرده که می گویند:” هرگز قصد جمع آوری این داده ها را نداشته، هیچگاه به پایگاه داده اش اضافه نشدند و هیچگاه از آن ها استفاده نکرده است.”

همچنین بیان کرد که به صورت پیشگیرانه SDK های خود را بروزرسانی کرده ای تا مطمئن شود اینگونه اطلاعات دیگر جمع آوری نمی شوند، سپس نسخه جدیدی را به شرکای توسعه دهنده خود ارسال کرده تا بروزرسانی را انجام دهند.

بنابراین این دو کمپانی سعی داشتند که کاربران خود را از این موضوع آگاه کنند.