sdk

Android: des SDK ont accédé à des données sur Twitter et Facebook

Deux SDK (kits de développement de logiciels) de parti tiers utilisés par une centaine de milliers d’applications Android ont accédé sans autorisation aux données sensibles d’utilisateurs. Ces données sont associées aux comptes de réseaux sociaux.

Dans un article publié récemment, Twitter a révélé qu’un SDK développé par OneAudience contient un composant qui accède aux données personnelles des utilisateurs. Ce SDK est soupçonné d’avoir envoyé certaines de ces données aux serveurs de OneAudience.

Après cette révélation de Twitter, Facebook a déclaré que le SDK d’une autre compagnie, Mobiburn, est sous investigation pour une activité similaire. Les données des utilisateurs connectés avec certaines applications Android auraient été envoyé à des firmes de collection de données.

OneAudience et Mobiburn sont des services de monétisation de données qui paient des développeurs pour intégrer leurs SDK dans les applications. Le SDK collecte ensuite les données de comportement des utilisateurs et les utilisent ensuite avec les annonceurs pour faire du marketing ciblé.

Les kits de développement de logiciels ne sont pas sensés avoir accès aux données personnelles, aux mots de passe ou aux tokens d’accès secret générés lors des processus de connexion avec Facebook ou Twitter.

Cependant, les 2 SDK incluent apparemment la capacité de furtivement collectionner des données sans autorisation.

“Ce problème n’est pas causé par une vulnérabilité dans le code de Twitter mais plutôt à cause du manque d’isolation entre les SDK dans l’application,” a clarifié Twitter lors de la révélation de l’incident.

La portée des données exposées est liée au niveau d’accès fournit par l’utilisateur. Ces données incluent les adresses email, les noms d’utilisateur, les photos, les tweets ainsi que les tokens d’accès qui pourraient être utilisé pour prendre le contrôle des comptes de réseaux sociaux connectés.

“Nous n’avons aucune preuve qui suggère que cela avait été utilisé pour prendre le contrôle d’un compte Twitter, mais cela reste une possibilité.” a déclaré Twitter.

sdk

“Nous avons des preuves que cet SDK a été utilisé pour accéder aux données personnelles d’au moins quelques comptes Twitter utilisant Android; cependant nous n’avons pas de preuve que la versions iOS du SDK malveillant a ciblé les gens qui utilisent Twitter sur iOS.”

Réactions face à ces SDK

Twitter a contacté Google et Apple et a suggéré aux usagers d’éviter de télécharger des applications depuis des app stores de parti tiers et de toujours surveiller la liste des applications qui ont l’autorisation d’accéder à leur compte Twitter.

Pendant ce temps-là, dans une révélation faite à la CNBC, Facebook a confirmé avoir déjà supprimé les applications sur sa plateforme.

“Des chercheurs en cybersécurité nous ont récemment signalé que OneAudience et Mobiburn payent des développeurs pour qu’ils utilisent leurs SDK dans les applications disponibles dans les app stores populaires,” a déclaré Facebook.

En réponse à cela, OneAudience a annoncé la fin de leur SDK et a ajouté, ” notre intention n’a jamais été de collecter des données, elles n’ont pas été ajouté à notre base de données et n’ont jamais été utilisé.”

“Nous avons mis à jour notre kit de développement de logiciel le 13 Novembre 2019 pour nous assurer que ces informations ne soient pas collectées. Nous avons ensuite distribué cette nouvelle version à nos partenaires en leur demandant de mettre à jour vers cette nouvelle version,” affirme OneAudience.

Les compagnies de réseau sociaux prévoient d’informer les utilisateurs qui ont été affecté par cet incident.

Si cet article vous a plu, jetez un œil à notre article précédent.

Poster un Commentaire

avatar
  S’abonner  
Notifier de