Les données de centaines d'utilisateurs Facebook et Twitter ont été exposées aux développeurs

à cause d'un SDK malveillant sur Android

Les données de centaines d'utilisateurs Facebook et Twitter ont été exposées aux développeurs,
à cause d'un SDK malveillant sur Android

Lundi, Facebook et Twitter ont annoncé que les données de « centaines d'utilisateurs » avaient peut-être été mal utilisées après que leurs comptes aient été utilisés pour se connecter aux applications Google Play Store sur des appareils Android. Jusqu'à présent, rien n'indique que les utilisateurs iOS ont été affectés.

Les sociétés ont reçu un rapport de chercheurs en sécurité qui ont découvert qu'un SDK appelé One Audience donnait aux développeurs tiers l'accès à des données personnelles. Cela inclut les adresses de messagerie, les noms d'utilisateur et les tweets les plus récents des personnes ayant utilisé leur compte Twitter pour accéder à des applications telles que Giant Square et Photofy.

La société a également déclaré qu’une personne pouvait peut-être prendre le contrôle du compte Twitter de quelqu'un d’autre par le biais de cette vulnérabilité, bien que rien ne prouve que cela se soit produit.

« Nous avons récemment reçu un signalement au sujet d'un kit de développement logiciel (SDK) mobile malveillant géré par oneAudience. Nous vous en informons aujourd'hui, car nous estimons qu'il relève de notre responsabilité de vous prévenir des incidents susceptibles d'impacter la sécurité de vos données personnelles ou de votre compte Twitter.

« Ce problème n'est pas dû à une vulnérabilité du logiciel Twitter, mais au fait que les SDK ne sont pas suffisamment isolés au sein d'une application. Notre équipe chargée de la sécurité a déterminé que le SDK malveillant, qui pouvait être intégré dans une application mobile, était susceptible d'exploiter une vulnérabilité de l'écosystème mobile pour permettre l'accès à des informations personnelles (adresse email, nom d'utilisateur, dernier Tweet). Bien que nous n'ayons aucune preuve suggérant que le SDK ait été utilisé pour prendre le contrôle d'un compte Twitter, il est possible qu'une personne puisse le faire.

« Nous avons constaté que ce SDK a été utilisé pour accéder aux données personnelles de certains titulaires de comptes Twitter utilisant Android. Cependant, rien ne montre que la version iOS de ce SDK malveillant ait ciblé les utilisateurs de Twitter pour iOS.

« Nous avons informé Google et Apple au sujet du SDK malveillant afin qu'ils puissent prendre d'autres mesures si nécessaire. Nous avons également informé nos autres partenaires du secteur.

« Nous préviendrons directement les utilisateurs de Twitter pour Android qui pourraient être concernés par ce problème. Vous n'avez aucune mesure à prendre pour le moment. Toutefois, si vous pensez avoir téléchargé une application malveillante depuis un magasin d'applications tiers, nous vous recommandons de la supprimer immédiatement ».


Cet avertissement intervient alors que Facebook, Google et Twitter font tous l'objet d'une surveillance accrue de la part des autorités de réglementation, des législateurs et des utilisateurs quant à l'utilisation des données personnelles par des développeurs externes pour suivre et cibler les consommateurs. La question est particulièrement préoccupante depuis mars 2018, lorsque des rapports ont révélé que la société d'analyse Cambridge Analytica avait accédé à tort à 87 millions de profils Facebook, en partie pour influencer l'élection présidentielle américaine de 2016 en faveur de Donald Trump lors de l'élection présidentielle de 2016.

Un porte-parole de Facebook a envoyé la déclaration suivante concernant la divulgation de lundi :

« Des chercheurs en sécurité nous ont récemment informés que deux acteurs malveillants, One Audience et Mobiburn, payaient les développeurs pour qu'ils utilisent des kits de développement de logiciels malveillants dans un certain nombre d'applications disponibles dans les magasins d'applications populaires. Après une enquête, nous avons supprimé les applications de notre plateforme pour violation des règles de notre plateforme et émis des lettres de cessation et de désistement contre One Audience et Mobiburn. Nous prévoyons d'informer les personnes dont les informations, selon nous, ont probablement été partagées, une fois qu'elles ont accordé à ces applications la permission d'accéder aux informations de leur profil, telles que leur nom, leur adresse électronique et leur sexe. Nous encourageons les utilisateurs à faire preuve de prudence lorsqu'ils choisissent les applications tierces pour lesquelles l'accès à leurs comptes de réseaux sociaux est autorisé ».

Mobiburn a publié une déclaration lundi au sujet de la vulnérabilité, affirmant qu'elle ne collectait pas les données de Facebook : « Mobiburn ne fait que faciliter le processus en présentant des sociétés de monétisation de données aux développeurs d’applications mobiles », a déclaré Mobiburn. « Malgré cela, Mobiburn a cessé toutes ses activités jusqu'à ce que notre enquête sur les tiers soit finalisée ».

Source : Twitter

Et vous ?

Sur quel système d'exploitation mobile êtes-vous ?
Comment attribuez-vous les autorisations aux applications sur votre téléphone portable ? Cochez-vous toutes les cases ou ne donnez-vous des autorisations que vous estimez nécessaires au bon fonctionnement des applications ?
Vous est-il déjà arrivé d'en révoquer par la suite ?
Que pensez-vous de la situation vécue par Twitter et Facebook avec ce SDK ?

Voir aussi :

Facebook a développé une app mobile de reconnaissance faciale qui permettait d'identifier ses employés et leurs amis, en pointant le téléphone dans leur direction
Twitter permet maintenant d'utiliser l'authentification à deux facteurs sans numéro de téléphone, mais il faudra activer la confirmation via une application pour continuer à profiter de 2FA
Google va payer 1,5 million de dollars pour les exploits les plus critiques sur Android, dans le cadre de son programme Android Security Rewards
Facebook teste le mode concurrent, un ensemble de nouvelles fonctionnalités qui aident les apps React à rester réactives et à s'adapter de façon fluide aux capacités et au débit réseau de l'appareil
USA : deux anciens employés de Twitter accusé d'avoir profité de leur position dans la structure pour espionner des opposants au régime saoudien