Hai bộ công cụ phát triển phần mềm (SDK) của bên thứ ba được tích hợp bởi hơn hàng trăm ngàn ứng dụng Android đã bị phát hiện truy cập trái phép vào dữ liệu người dùng được liên kết với các tài khoản truyền thông xã hội của họ.
Trong một bài đăng trên blog được xuất bản ngày hôm qua, Twitter đã cho biết SDK do OneAudience phát triển có chứa thành phần vi phạm quyền riêng tư, có thể đã chuyển một số dữ liệu cá nhân của người dùng đến máy chủ OneAudience.
Sau Twitter, Facebook hôm nay cũng đã đưa ra thông tin SDK từ Mobiburn cũng đang bị điều tra về hoạt động tương tự, có thể khiến người dùng kết nối với một số ứng dụng Android nhất định cho các công ty thu thập dữ liệu.
Cả OneAudience và Mobiburn đều là các dịch vụ kiếm tiền từ dữ liệu. Họ đã trả cho các nhà phát triển để tích hợp SDK của mình vào các ứng dụng, tiếp đến thu thập dữ liệu hành vi của người dùng rồi bán chúng cho các nhà quảng cáo để tiếp thị mục tiêu.
Về nguyên tắc, bộ công cụ phát triển phần mềm của bên thứ ba không được phép truy cập vào thông tin nhận dạng cá nhân, mật khẩu tài khoản hoặc mã token truy cập bí mật được tạo trong quá trình ‘Đăng nhập bằng Facebook’ hoặc ‘Đăng nhập bằng Twitter’.
Nhưng theo báo cáo, cả hai SDK độc hại trên đều có khả năng lén lút và thu thập trái phép dữ liệu cá nhân này. Hoạt động này chỉ được phép xảy ra khi người dùng ủy quyền cho các nhà phát triển truy cập bằng tài khoản Twitter hoặc Facebook của họ.
“Vấn đề này không phải do lỗ hổng trong phần mềm của Twitter, mà là do sự thiếu cách ly giữa các SDK trong ứng dụng”, Twitter nói rõ trong thông báo về sự cố thu thập dữ liệu.
Vì vậy, vụ phạm vi dữ liệu dựa vào mức độ truy cập mà người dùng đã cung cấp trong khi kết nối tài khoản truyền thông xã hội của họ với các ứng dụng dễ bị tấn công. Dữ liệu này thường gồm địa chỉ email, username, ảnh, nội dung tweet, cũng như mã token truy cập bí mật có thể bị lạm dụng để kiểm soát các tài khoản truyền thông xã hội được kết nối của họ.
Twitter nói dù không có bằng chứng nào cho thấy việc này được sử dụng để kiểm soát tài khoản, nhưng khả năng có thể làm được như vậy.
“Chúng tôi có bằng chứng cho thấy SDK này đã được sử dụng để truy cập dữ liệu cá nhân của ít nhất một số chủ tài khoản Twitter dùng Android. Tuy nhiên chúng tôi không có bằng chứng nào cho thấy phiên bản iOS của SDK độc hại này nhắm đến những người sử dụng Twitter cho iOS.”
Twitter cũng đã thông báo cho Google và Apple về SDK độc hại và đề nghị người dùng chỉ cần tránh tải xuống ứng dụng từ các cửa hàng ứng dụng của bên thứ ba và định kỳ xem xét các ứng dụng được ủy quyền.
Trong khi đó, Facebook xác nhận với CNBC đã gỡ bỏ các ứng dụng khỏi nền tảng của mình vì vi phạm chính sách và đã đưa ra các thư chấm dứt hợp tác đối với cả One Audience và Mobiburn.
Facebook cho biết “Các nhà nghiên cứu bảo mật gần đây đã thông báo cho chúng tôi về hai đơn vị có vấn đề là One Audience và Mobiburn, họ đang trả tiền cho các nhà phát triển để sử dụng bộ công cụ phát triển phần mềm độc hại (SDK) trong một số ứng dụng có sẵn trong các cửa hàng ứng dụng phổ biến”.
Phản hồi với những thông tin này, OneAudience tuyên bố họ đã đóng bộ SDK của mình và nói không có ý định thu thập dữ liệu này, không được thêm vào cơ sở dữ liệu của họ và không bao giờ được sử dụng.
OneAudience nói “Chúng tôi chủ động cập nhật SDK của mình để đảm bảo rằng thông tin không thể được thu thập vào ngày 13/11/2019. Sau đó, chúng tôi đã đẩy phiên bản SDK mới cho các đối tác nhà phát triển của mình và yêu cầu họ cập nhật lên phiên bản mới này”.
Cả hai mạng xã hội hiện có kế hoạch thông báo sớm cho những người có thể đã bị ảnh hưởng bởi sự cố này.