Un rapport récent réalisé par Nightwatch Cybersécurité indique qu'un tiers application Android avec accès API Facebook copiait les données utilisateur dans le stockage extérieur de Facebook. En outre, les données ont été mémorisées de manière non sécurisée à deux endroits.
App Android avec l'API Facebook Copié données utilisateur
Le problème a été signalé à Facebook grâce à leur programme de primes de données abus, et les emplacements de stockage ont été fixés en Novembre l'année dernière. Comme l'application elle-même, il a été retiré de Facebook, mais la version Android est toujours disponible dans Google Play. Le pire est que le nombre d'utilisateurs touchés par cette violation est inconnue.
Les chercheurs sont venus dans l'application Android douteuse dans Google Play Store en Septembre l'année dernière, quelques mois après que Facebook a lancé sa prime d'abus de données. L'application a affirmé qu'il a fourni des fonctionnalités supplémentaires aux utilisateurs de Facebook ne sont pas disponibles à travers la plate-forme. Soi-disant, l'application a été téléchargée plus de 1, 000,000 fois. Une fois que les chercheurs ont analysé et téléchargé ce, ils ont constaté qu'il utilisait les API Facebook pour accéder aux données de l'utilisateur connecté.
L'application même copié les données vers les sites hors Facebook. Au moins deux des emplacements - une base de données Firebase et un serveur API - ne protège pas correctement les données et il était accessible sans authentification et sans HTTPS, le rapport. Inutile de dire, cette lacune pourrait permettre à des attaquants de télécharger facilement les données utilisateur accumulées par l'application.
Selon le rapport:
Au cours de notre examen de la demande, nous avons trouvé une base de données Firebase que l'application communiquait avec.
Le programme de primes de l'abus de données Facebook récompense les gens pour signaler une mauvaise utilisation des données par les développeurs d'applications. Le Bounty d'abus données est inspirée par le programme de primes de bug de Facebook que le réseau social utilise pour découvrir et résoudre les problèmes de sécurité.
Le programme est sans aucun doute « inspiré » par le scandale Cambridge-Analytica et les événements suivants CubeYou où des applications quiz ont été utilisés pour récolter les informations des utilisateurs.
La découverte de Nightwatch Cybersécurité qualifié selon les termes de l'abus de données Facebook Programme de primes et un paiement de primes a été reçu, chercheurs.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: