Nightwatch Cybersecurityが実施した最近のレポートによると、Facebook APIにアクセスできるサードパーティのAndroidアプリが、ユーザーデータをFacebookの外部のストレージにコピーしていたことが示されています。. さらに, データは2か所に安全に保管されていませんでした.
FacebookAPIを使用したAndroidアプリがユーザーデータをコピー
この問題は、DataAbuseBountyプログラムを通じてFacebookに報告されました, 昨年11月に保管場所を確保しました. アプリ自体として, Facebookから削除されましたが、Androidバージョンは引き続きGooglePlayで利用できます. 最悪の部分は、この違反の影響を受けたユーザーの数が不明であるということです.
研究者たちは昨年9月にGooglePlayストアで疑わしいAndroidアプリケーションに出くわしました, Facebookがデータ乱用報奨金を開始してから数か月後. アプリは、プラットフォームでは利用できないFacebookユーザーに追加機能を提供すると主張しました. 伝えられるところでは, アプリは以上ダウンロードされました 1, 000,000 時間. 研究者がそれをダウンロードして分析した後, ログインしたユーザーのデータにアクセスするためにFacebookAPIを使用していることがわかりました.
アプリはFacebook以外の場所にもデータをコピーしました. FirebaseデータベースとAPIサーバーの少なくとも2つの場所でデータが適切に保護されておらず、認証やHTTPSなしでアクセスできました。, レポートによると. 言うまでもなく, この抜け穴により、攻撃者はアプリによって蓄積されたユーザーデータを簡単にダウンロードできる可能性があります.
レポートによると:
アプリケーションの審査中, アプリケーションが通信しているFirebaseデータベースを見つけました.
Facebookのデータ乱用報奨金プログラムは、アプリケーション開発者によるデータの誤用を報告したことに対して人々に報酬を与えます. データ乱用報奨金は、ソーシャルネットワークがセキュリティ問題を発見して対処するために使用するFacebookのバグ報奨金プログラムに触発されています.
このプログラムは、Cambridge-Analyticaスキャンダルと、クイズアプリを使用してユーザーの情報を収集した次のCubeYouイベントに間違いなく「触発」されています。.
Nightwatch Cybersecurityの発見は、Facebook Data Abuse Bounty Programの条件の下で認定され、報奨金の支払いが受領されました, 研究者は言った.