Android App med Facebook API kopieres og usikker gemt brugerdata
CYBER NEWS

Android App med Facebook API kopieres og usikker gemt brugerdata

En nylig rapport udført af Nightwatch cybersikkerhed indikerer, at en tredjepart Android app med Facebook API adgang blev kopiere brugerdata i opbevaring uden for Facebook. Desuden, dataene blev lagret usikkert to steder.




Android App med Facebook API Kopieret brugerdata

Spørgsmålet blev rapporteret til Facebook via deres data misbrug Bounty-program, og lagerpladser blev sikret i november sidste år. Som selve app, det blev fjernet fra Facebook men den Android-version er stadig tilgængelig i Google Play. Den værste del er, at antallet af brugere er berørt af dette brud er ukendt.

Forskerne kom på tværs af tvivlsomme Android applikation i Google Play butik i september sidste år, få måneder efter Facebook indledte sin datamisbrug Bounty. Den app hævdede, at det gav ekstra funktionalitet til Facebook-brugere ikke er tilgængelige via platformen. angiveligt, app blev downloadet mere end 1, 000,000 gange. Efter forskerne hentet og analyseret det, de fandt, at det var ved hjælp Facebook API'er til at få adgang til data for indloggede bruger.

Relaterede: For lidt, For sent: Facebook lancerer datamisbrug Bounty

Den app kopierede selv dataene til steder uden for Facebook. Mindst to af de steder - en Firebase database og en API server - ikke beskytter dataene korrekt, og det var tilgængelig uden godkendelse og uden HTTPS, hedder det i rapporten. Naturligvis, dette smuthul kan tillade angribere at nemt downloade brugerdata akkumuleret af den app.

Ifølge rapporten:

Under vores behandling af ansøgningen, vi placeret en Firebase database, ansøgningen blev kommunikerer med. Databasen blev konfigureret i testtilstand, som tillod anonym offentlig adgang ved at besøge webadressen på ”https://DATABASE.firebaseio.com/.json ”.

Facebooks data Misbrug Bounty program belønner folk for at rapportere misbrug af data ved applikationsudviklere. Data Misbrug Bounty er inspireret af Facebooks bug bounty program, det sociale netværk bruger til at afdække og adresse sikkerhedsspørgsmål.

Programmet er afgjort ”inspireret” af Cambridge-Analytica skandalen og de følgende CubeYou begivenheder, hvor quiz apps blev brugt til at høste brugernes oplysninger.

Nightwatch Cybersecurity’s discovery qualified under the terms of the Facebook Data Abuse Bounty Program and a bounty payment has been received, forskerne sagde.

Avatar

Milena Dimitrova

En inspireret forfatter og indhold leder, der har været med SensorsTechForum for 4 år. Nyder ’Mr. Robot’og frygt’1984’. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim

Flere indlæg

Følg mig:
Twitter

Efterlad en kommentar

Din e-mail-adresse vil ikke blive offentliggjort. Krævede felter er markeret *

Frist er opbrugt. Venligst genindlæse CAPTCHA.

Del på Facebook Del
Loading ...
Del på Twitter Tweet
Loading ...
Del på Google Plus Del
Loading ...
Del på Linkedin Del
Loading ...
Del på Digg Del
Del på Reddit Del
Loading ...
Del på Stumbleupon Del
Loading ...