Приложения собирают информацию о профилях через API Facebook
07 мая 2018 г., понедельник
Почти 26 000 приложений злоупотребляют программными интерфейсами, чтобы тайно получать данные пользователей.
Специалисты компании Trustlook обнаружили около 26 000 вредоносных приложений, которые могут получать из профиля в социальной сети целый ряд сведений, включая имя, местоположение и адрес электронной почты, используя API Facebook для входа в систему или обмена сообщениями.
Все найденные вредоносные приложения могли записывать аудио, делать снимки или совершать сетевые вызовы даже в неактивном состоянии. Специалисты выяснили это, проанализировав более 80 составляющих каждой программы, включая библиотеки, вызовы по API, сетевую активность и выданные разрешения.
Эксперты Trustlook обращают внимание, что скандал со сбором данных компанией Cambridge Analytica был связан именно с функцией «Войти через Facebook». Регистрируясь в приложении с помощью учетной записи в социальной сети, пользователи предоставляли разработчикам информацию профиля, а также сведения о своих друзьях и подписчиках.
Несмотря на то, что впоследствии Facebook внесла существенные изменения в функционал интерфейса, разработчики все еще могут получать с их помощью данные, в том числе без разрешения пользователей.
Исследователи отметили, что для сбора информации через API разработчики используют не только Facebook, но также Twitter, LinkedIn, Google и Yahoo.
В интервью Threatpost Дэвид Гинсбург (David Ginsburg), вице-президент Trustlook по маркетингу и оценке кибербезопасности, сказал: «Даже если вы очень избирательны при добавлении сторонних приложений, для понимания «Политики конфиденциальности» потребуется степень Гарвардского университета. К примеру, новые правила пользования Instagram (собственность Facebook) составляют (по состоянию на 19 апреля) 3000 слов, и их «трудно читать». Их же «Политика обработки данных» превышает 4000 слов».
Большинство IT-специалистов придерживаются мнения, что правительство должно принимать участие в регулировании сбора данных, однако осознают, что чиновникам не хватает знаний для решения подобных задач. Поэтому в первую очередь свой подход должны менять социальные сети.
«Наша позиция такова: как компания Coca-Cola не хочет, чтобы ее реклама появлялась на некоторых сайтах, так и Facebook должен не хотеть, чтобы разработчики вредоносных приложений использовали его API», — заявляют представители Trustlook.