Хакер #305. Многошаговые SQL-инъекции
На этой неделе стало известно, что из-за использования сторонних SDK данные пользователей Twitter и Facebook утекали на сторону (разумеется, без чьего-либо ведома).
Так, в понедельник представители Twitter сообщили, что компания получила предупреждение относительно SDK аналитической платформы OneAudience. Эта компания разрабатывает мобильный SDK для приложений Android и iOS, который собирает данные о пользователях, чтобы затем предоставить разработчикам дополнительную информацию об их аудитории.
Как оказалось, SDK компании содержал функции, позволяющие собирать личную информацию пользователей Twitter без разрешения. Разработчики Twitter подчеркнули, что дело было не в какой-то уязвимости в их приложении, но в отсутствии изоляции между SDK внутри него.
По сути, когда пользователи устанавливали какое-либо приложение на свое устройство, а затем использовали функцию «Войти через Twitter» для входа, SDK тайно собирал информацию о профиле Twitter.
Хуже того, социальная сеть заявила, что у нее есть «доказательства того, что данный SDK использовался для доступа к личным данным людей». Собранная информация включала электронную почту, имя пользователя и его последний твит. По информации CNBC, были обнаружены как минимум два приложения и таким поведением: Giant Square и Photofy.
Twitter не сообщает, скольких именно пользователей затронула эта проблема, но известно, что пострадали только пользователи Android. Представители Twitter уведомили о происходящем Google и Apple, так что теперь владельцы магазинов приложений могут самостоятельно предпринять действия против приложений, содержащих OneAudience SDK.
Похожая проблема коснулась и компании Facebook, только в данном случае информацию о пользователях собирали сразу два SDK: вышеупомянутый OneAudience SDK, а также SDK платформы монетизации данных MobiBurn.
Сбор данных происходил точно так же, как и в случае с Twitter: если пользователь связывал стороннее приложение со своей учетной записью Facebook, SDK тайно собирали личные пользовательские данные, включая имя, адрес электронной почты и пол.
После завершения расследования социальная сеть удалила со своей платформы нарушавшие правила приложения, а также обратились с письменными претензиями-предупреждениями к разработчикам One Audience и Mobiburn.
Представители One Audience и Mobiburn уже опубликовали официальные заявления, в которых уверяют, что лишь предоставляли разработчикам приложений соответствующие инструменты, но никак не участвовали в сборе данных. Фактически компании перекладывают вину за случившееся на разработчиков, которые якобы злоупотребляли SDK. В настоящее время, после получения предупреждения от Facebook, обе компании временно прекратили разработку SDK, и они более недоступны для скачивания вплоть до завершения расследований и разрешения ситуации.