CYBER NEWS

Metodo CanaryTrap Identifica 16 App di Facebook colpevole di abuso di dati


La privacy sui social media dovrebbe essere una delle principali preoccupazioni per gli utenti online. Tuttavia, la maggior parte delle persone rimane inconsapevole dei misfatti dei social network e degli sviluppatori di app che spesso abusano delle loro informazioni personali.

Il metodo CanaryTrap aiuta a identificare l'abuso di dati

Per fortuna, un gruppo di accademici ha creato un metodo che può aiutare a identificare gli sviluppatori di app di Facebook che condividono i dati degli utenti con terze parti. Il metodo è stato soprannominato CanaryTrap. Vediamo come funziona.




Esistono numerosi esempi di utilizzo improprio dei dati da parte di sviluppatori di app di terze parti. Generalmente, Single Sign-On (SSO) le app su Facebook di solito richiedono l'accesso ai dettagli personali di un utente, come indirizzo e-mail, data di nascita, genere, e mi piace.

Il problema è che le app di terze parti con accesso ai dettagli personali di un gran numero di utenti hanno un alto potenziale di uso improprio, i ricercatori sottolineano nel loro carta bianca. Il numero di incidenti di alto profilo relativi all'abuso di dati da parte di app di terzi sui social network online è maggiore di quanto dovrebbe essere. Non dimentichiamo lo scandalo Cambridge Analytica.

Mancano metodi per rilevare sistematicamente l'uso improprio dei dati da parte di app di terze parti. Il problema principale è che le piattaforme di social network online perdono il controllo sui propri dati una volta recuperati da app di terze parti. Queste app di terze parti possono archiviare i dati recuperati sui loro server da dove possono essere ulteriormente trasferiti ad altre entità. Né gli utenti né i social network online hanno alcuna visibilità sull'uso dei dati memorizzati sui server di app di terze parti. Ciò rende estremamente problematico il problema di rilevare l'uso improprio dei dati poiché è difficile rintracciare qualcosa che non è sotto il tuo controllo.

Così, in che modo il metodo CanaryTrap aiuterà a risolvere il problema dell'uso improprio dei dati?

Spiegazione del metodo CanaryTrap

Il metodo CanaryTrap ruota attorno a qualcosa chiamato "honeytoken". I favi sono descritti come parole o documenti fittizi, aggiunto a database legittimi. I Honeytokens consentono agli amministratori di tracciare i dati nel caso in cui non siano in grado di tracciarli. I favi possono essere indirizzi e-mail o dettagli della carta di credito che possono essere trapelati o condivisi intenzionalmente per rilevare il loro uso non riconosciuto o potenzialmente non autorizzato, il documento spiega. Questo rilevamento viene eseguito con l'aiuto di diversi canali di monitoraggio:

Per esempio, se un indirizzo e-mail è condiviso come honeytoken, le e-mail ricevute fungono da canale per rilevare l'uso non riconosciuto dell'indirizzo e-mail condiviso. Progettiamo e implementiamo CanaryTrap per indagare sull'uso improprio dei dati condivisi con app di terze parti su Facebook. Condividiamo l'indirizzo e-mail associato a un account di Facebook come una favola installando un'app di terze parti e quindi monitoriamo le e-mail ricevute per rilevare qualsiasi utilizzo non riconosciuto dell'indirizzo e-mail condiviso. Concludiamo che un honeytoken condiviso con un'app di terze parti è stato potenzialmente utilizzato in modo improprio se il mittente di un'e-mail ricevuta non può essere riconosciuto come app di terze parti.

I ricercatori sfruttano anche il fatto che gli inserzionisti su Facebook hanno la possibilità di utilizzare indirizzi e-mail per indirizzare il pubblico personalizzato. Il team utilizza lo strumento per la trasparenza degli annunci di Facebook, chiamato "Perché vedo questo?"Per osservare gli inserzionisti che hanno utilizzato il honeytoken condiviso per eseguire campagne pubblicitarie per il pubblico personalizzato sulla piattaforma social. La conclusione è che i token miele condivisi con un'app di terze parti sono stati utilizzati in modo improprio nel caso in cui l'inserzionista non possa essere riconosciuto come app di terze parti.

I ricercatori hanno dichiarato di aver testato 1,024 App di Facebook di cui hanno trovato 16 app che condividono indirizzi e-mail con terze parti. Ciò ha portato gli utenti a ricevere e-mail da mittenti sconosciuti. Solo 9 del 16 le app hanno rivelato di essere associate al mittente dell'e-mail. Il basso numero di tali app rilevate è dovuto al piccolo campione di 1,204 app utilizzate nella ricerca. Il team ritiene che se verranno esaminate più app, il numero di app che abusano delle informazioni dell'utente sarà molto maggiore.


La gestione errata dei dati degli utenti da parte di Facebook non è una novità

Nel mese di aprile 2019, I ricercatori di UpGuard Cyber ​​Risk hanno scoperto mezzo miliardo di record di milioni di utenti di Facebook che erano apertamente disponibili su Internet. Le registrazioni sono state trovate su server cloud di Amazon non protetti. Apparentemente, due di terze parti sviluppate Facebook App insiemi di dati sono stati esponendo i dettagli degli utenti alla rete Internet pubblica.

Tutti i set di dati avevano qualcosa in comune – tutti hanno avuto origine da utenti di Facebook e hanno presentato informazioni sensibili in dettaglio, quali interessi, relazioni, e interazioni. Questi dettagli sono stati disponibili per gli sviluppatori di applicazioni di terze parti.

A maggio 2020, Facebook ha subito un'altra sanzione per le dichiarazioni sulla privacy dei dati falsi. Secondo l'Ufficio Competizioni del Canada, Facebook ha gestito male le informazioni dell'utente creando la falsa sensazione che gli utenti potrebbero controllare chi potrebbe vedere e accedere alle loro informazioni personali tramite le funzionalità di privacy. La penalità è stimata in CAD 9 milione, che equivale a USD 6.5 milione, e EUR 5.9 milione.

Milena Dimitrova

Milena Dimitrova

Uno scrittore ispirato e gestore di contenuti che è stato con SensorsTechForum fin dall'inizio. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim

Altri messaggi

Seguimi:
Cinguettio

Lascio un commento

Il tuo indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *

Termine è esaurito. Ricarica CAPTCHA.

Condividi su Facebook Quota
Loading ...
Condividi su Twitter Tweet
Loading ...
Condividi su Google Plus Quota
Loading ...
Condividi su Linkedin Quota
Loading ...
Condividi su Digg Quota
Condividi su Reddit Quota
Loading ...
Condividi su Stumbleupon Quota
Loading ...