Un informe reciente realizado por Ciberseguridad sombra de la noche indica que un tercero Android aplicación con acceso a la API de Facebook estaba copiando los datos del usuario en el almacenamiento exterior de Facebook. Por otra parte, los datos se almacenan de forma insegura en dos lugares.
Android App con Facebook API de copiado de datos de usuario
La cuestión se informó a Facebook a través de su programa de Bounty Abuso de Datos, y los lugares de almacenamiento fueron asegurados en noviembre del año pasado. Como la propia aplicación, fue eliminado de Facebook, pero la versión de Android todavía está disponible en Google Play. Lo peor es que el número de usuarios afectados por este incumplimiento se desconoce.
Los investigadores llegaron a través de la aplicación de Android dudosa en la tienda Google Play en septiembre del año pasado, unos meses después de que Facebook inició su recompensa por abuso de datos. La aplicación afirmó que proporcionan funcionalidad adicional para los usuarios de Facebook que no están disponibles a través de la plataforma. presumiblemente, la aplicación se ha descargado más de 1, 000,000 veces. Después los investigadores analizaron descargan y se, descubrieron que estaba usando las API de Facebook para acceder a los datos del usuario conectado.
La aplicación incluso copiar los datos a lugares fuera de Facebook. Al menos dos de los lugares - una base de datos y un servidor Firebase API - no proteger los datos adecuadamente y era accesible sin ningún tipo de autenticación y sin HTTPS, según el informe. No hace falta decir, esta laguna podría permitir a los atacantes descargar fácilmente los datos de usuario acumulados por la aplicación.
De acuerdo con el informe:
Durante nuestro examen de la solicitud, localizamos una base de datos Firebase que la aplicación se comunica con.
Bounty programa de abuso de datos de Facebook premia a las personas para reportar el mal uso de los datos por los desarrolladores de aplicaciones. El Bounty Abuso de datos está inspirado en el programa de recompensas de errores de Facebook que la red social utiliza para descubrir y solucionar problemas de seguridad.
El programa es sin duda “inspirado” por el escándalo de Cambridge-Analytica y los sucesos siguientes CubeYou donde se utilizaron aplicaciones de concursos para recoger datos del usuario.
El descubrimiento de nightwatch Ciberseguridad calificado bajo los términos del Programa de Recompensas por Abuso de Facebook de datos y un pago de recompensas ha sido recibida, investigadores dijeron.