کیت‌های توسعه‌ی نرم‌افزار مخرب اندروید به داده‌های کاربران فیس‌بوک و توئیتر دسترسی پیدا کرده‌اند

مدیر

دو کیت توسعه‌ی نرم‌افزار (SDK) شخص ثالث که توسط صدها هزار برنامه‌ی اندرویدی ادغام شده‌اند، به‌صورت غیرمجاز به داده‌های حساب کاربران در شبکه‌های اجتماعی متصل دسترسی دارند. توئیتر با انتشار پستی در تاریخ ۲۵ نوامبر فاش کرد که کیت توسعه‌داده‌شده توسط OneAudience حاوی یک مؤلفه‌ی نقض حریم خصوصی است که می‌تواند برخی از اطلاعات شخصی کاربران این شبکه‌ی اجتماعی را به سرورهای OneAudience منتقل کند. به‌دنبال افشای توئیتر، فیس‌بوک نیز با انتشار بیانیه‌ای در تاریخ ۲۶ نوامبر اعلام کرد که کیت توسعه‌ای شرکت دیگری به نام Mobiburn نیز درحال انجام فعالیت‌های مخرب مشابهی است که می‌تواند اطلاعات کاربران متصل به برخی برنامه‌های اندرویدی خاص را برای شرکت‌های جمع‌آوری داده‌ها افشا کند.

هر دوی کیت‌های OneAudience و Mobiburn، خدمات ارزش افزوده از داده‌ها هستند که به توسعه‌دهندگان اجازه می‌دهند تا با ادغام کیت‌های توسعه‌ای خود در برنامه‌ها، داده‌های رفتاری کاربران را جمع‌آوری کرده و سپس از آن‌ها، برای تبلیغ در بازاریابی هدفمند استفاده کنند. در حالت کلی، کیت‌های توسعه‌ی نرم‌افزار شخص ثالث که برای اهداف تبلیغاتی مورد استفاده قرار می‌گیرند، قرار نیست به اطلاعات شناسایی شخصی کاربران، رمز ورود به حساب یا توکن‌های دسترسی مخفی تولیدشده در فرآیند ورود به سیستم در فیس‌بوک یا توئیتر دسترسی داشته باشند. بااین‌حال، گزارش شده است که هر دوی این کیت‌های مخرب دارای قابلیت جمع‌آوری مخفیانه و غیرمجاز این داده‌های شخصی هستند که به توسعه‌دهندگان برنامه‌ها اجازه می‌دهد تا به حساب‌های توئیتر یا فیس‌بوک دسترسی داشته باشند.

به گفته‌ی توئیتر، این مسئله به‌دلیل وجود آسیب‌پذیری در نرم‌افزار توئیتر نیست، بلکه از عدم انزوا (lack of isolation) میان کیت‌های توسعه‌ای در یک برنامه ناشی می‌شود. بنابراین، طیف وسیعی از اطلاعات کاربران هنگام اتصال حساب‌های آن‌ها در رسانه‌های اجتماعی به برنامه‌های آسیب‌پذیر افشا شده است. این داده‌ها معمولاً شامل آدرس‌های ایمیل، نام‌های کاربری، تصاویر، توئیت‌ها و همچنین توکن‌های دسترسی مخفی هستند که می‌توانند برای کنترل حساب‌های کاربری در رسانه‌های اجتماعی مورد سوءاستفاده قرار گیرند.

به گفته‌ی توئیتر، درحالی‌که هیچ مدرکی برای اثبات این موضوع که از این داده‌ها برای کنترل یک حساب کاربری در این شبکه‌ی اجتماعی استفاده شده است، وجود ندارد، اما این امکان وجود دارد که یک شخص بتواند این کار را انجام دهد. این شبکه‌ی اجتماعی همچنین اعلام کرد که شواهدی مبنی‌بر استفاده از این کیت‌ها برای دستیابی به داده‌های شخصی افراد، حداقل برای برخی از دارندگان حساب توئیتر در سیستم عامل اندروید مشاهده شده است؛ بااین‌حال، هیچ مدرکی وجود ندارد که کاربران نسخه‌ی iOS توئیتر نیز هدف نسخه‌ی iOS این کیت‌های مخرب قرار گرفته باشند.

درنهایت، توئیتر اعلام کرد که شرکت‌های گوگل و اپل را در مورد این کیت‌های مخرب آگاه کرده و به کاربران نیز توصیه کرده است تا از دانلود برنامه‌ها از فروشگاه‌های برنامه‌های شخص ثالث خودداری کرده و به‌صورت دوره‌ای برنامه‌های مجاز را مرور کنند.

درهمین‌حال، فیس‌بوک نیز تأیید کرد که درحال‌حاضر برنامه‌های ناقض خط‌مشی‌های خود را از پلتفرم خود حذف کرده و نامه‌های متوقف و محکوم‌کردن علیه OneAudience و Mobiburn را منتشر کرده است. در پاسخ به این موضوع، OneAudience اعلام کرد که کیت خود را خاموش کرده و همچنین اظهار داشت: «این داده‌ها هرگز قرار نبود که جمع‌آوری شوند، هرگز به پایگاه داده‌ی ما اضافه نشده و هرگز قرار نبود استفاده شوند.» این ارائه‌دهنده همچنین اعلام کرد که کیت توسعه‌ای خود را در تاریخ ۱۳ نوامبر به‌منظور اطمینان از عدم جمع‌آوری داده‌ها به‌روزرسانی کرده و نسخه‌ی جدید آن را در اختیار شرکای توسعه‌دهنده‌ی خود قرار داده است. حال، هر دوی این رسانه‌های اجتماعی قصد دارند تا به‌زودی آن دسته از کاربران خود را نیز که ممکن است تحت تأثیر این مسئله قرار گرفته باشند، مطلع کنند.

منبع

پست‌های مشابه

Leave a Comment