App Android avec Facebook API et Copié données utilisateur stockées de manière non sécurisée
NOUVELLES

App Android avec Facebook API et Copié données utilisateur stockées de manière non sécurisée

Un rapport récent réalisé par Nightwatch Cybersécurité indique qu'un tiers application Android avec accès API Facebook copiait les données utilisateur dans le stockage extérieur de Facebook. En outre, les données ont été mémorisées de manière non sécurisée à deux endroits.




Android App with Facebook API Copied User Data

The issue was reported to Facebook through their Data Abuse Bounty program, and the storage locations were secured in November last year. As the app itself, it was removed from Facebook but the Android version is still available in Google Play. The worst part is that the number of users affected by this breach is unknown.

The researchers came across the dubious Android application in Google Play store in September last year, few months after Facebook initiated its Data Abuse Bounty. The app claimed that it provided additional functionality to Facebook users not available through the platform. Soi-disant, the app was downloaded more than 1, 000,000 fois. After the researchers downloaded and analyzed it, they found that it was using Facebook APIs to access data for the logged in user.

en relation:
Facebook vient d'annoncer le lancement d'un programme de primes de données abus où les gens seront récompensés pour signaler une mauvaise utilisation des données par les développeurs d'applications
Trop petit, Trop tard: Facebook lance Bounty Abus de données

The app even copied the data to locations outside of Facebook. At least two of the locations – a Firebase database and an API server – didn’t protect the data properly and it was accessible without any authentication and without HTTPS, le rapport. Inutile de dire, this loophole could allow attackers to easily download the user data accumulated by the app.

Selon le rapport:

During our examination of the application, we located a Firebase database that the application was communicating with. The database was configured in test mode, which allowed anonymous public access by visiting the URL of “https://DATABASE.firebaseio.com/.json“.

Facebook’s Data Abuse Bounty program rewards people for reporting misuse of data by application developers. The Data Abuse Bounty is inspired by Facebook’s bug bounty program that the social network uses to uncover and address security issues.

The program is definitely “inspired” by the Cambridge-Analytica scandal and the following CubeYou events where quiz apps were used to harvest users’ information.

Nightwatch Cybersecurity’s discovery qualified under the terms of the Facebook Data Abuse Bounty Program and a bounty payment has been received, chercheurs.

Milena Dimitrova

Un écrivain inspiré et gestionnaire de contenu qui a été avec SensorsTechForum pour 4 ans. Bénéficie d' « M.. Robot » et les craintes de 1984 '. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles!

Plus de messages

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont marqués *

Délai est épuisé. S'il vous plaît recharger CAPTCHA.

Partager sur Facebook Partager
Loading ...
Partager sur Twitter Tweet
Loading ...
Partager sur Google Plus Partager
Loading ...
Partager sur Linkedin Partager
Loading ...
Partager sur Digg Partager
Partager sur Reddit Partager
Loading ...
Partager sur Stumbleupon Partager
Loading ...