Si has iniciado sesión en otras apps con Facebook o Twitter han podido robar tus datos
Ni siquiera las grandes compañías están a salvo de vulnerabilidades y fallos de seguridad. Facebook se ha visto afectada por varias en su historia, pero curiosamente Twitter no había tenido grandes problemas. Ahora, ambas plataformas se han visto afectadas por un fallo de seguridad en Android que ha podido revelar tus datos.
Un SDK malicioso, el culpable del acceso indebido a Facebook y Twitter
Así lo han revelado ambas compañías, donde confirman el acceso indebido a los datos de cientos de usuarios que hayan usado sus cuentas de Twitter o Facebook para iniciar sesión en aplicaciones de Android. El fallo parece que sólo ha afectado a usuarios de Android.
Facebook y Twitter recibieron el aviso por parte de una empresa externa de seguridad de que había una vulnerabilidad que estaba exponiendo datos de usuarios. Los investigadores descubrieron el kit de desarrollo llamado One Audience que daba a desarrolladores externos acceso a información personal de usuarios, como su nombre y direcciones de correo electrónico. Además, en el caso de Twitter, si usabas tu cuenta para acceder a otras aplicaciones, esas otras apps podían acceder a tus tweets más recientes incluso si el perfil era privado.
Entre las aplicaciones que usaban ese kit de desarrollo para acceder se encontraban Giant Square y Photofy. La cantidad de datos que las apps han podido recopilar dependen de los permisos que el usuario les haya dado, pero Facebook por ejemplo alerta que cualquier dato que se haya compartido con la app ha podido filtrarse. De hecho, era posible que una persona tomase el control de una cuenta de Twitter al completo, aunque no tienen evidencias de que eso haya ocurrido.
Revisa a qué apps les ha dado permiso en tu cuenta de Twitter o Facebook
Las vulnerabilidades no son culpa de las propias aplicaciones en sí, sino la falta de aislamiento del SDK dentro de la aplicación. One Audience y Mobiburn estaban pagando a desarrolladores para incluir estos kits de desarrollo maliciosos en diversas apps. Por ello, Facebook ha eliminado las apps que lo hayan usado de su plataforma, además de solicitar que dejen de llevar a cabo esa actividad.
Twitter y Facebook han afirmado que pronto empezarán a notificar a los posibles usuarios afectados de lo sucedido, y también ha informado a Google y a Apple de la vulnerabilidad para que puedan solucionar los fallos adecuadamente. Además, recomiendan a los usuarios que tengan un cuidado extremo a la hora de elegir a qué aplicaciones les dan permiso para acceder a su información de redes sociales. Además, es recomendable revisar de vez en cuando qué apps tienen acceso a nuestra cuenta de Facebook y a qué apps hemos dado permisos para acceder a nuestra cuenta de Twitter.
Mobiburn, por su parte, se ha defendido afirmando que este mismo lunes han solucionado la vulnerabilidad, y que no han recopilado, compartido o monetizado datos de Facebook. Sin embargo, sea cierto o no, la realidad es que estaban haciendo uso del kit de desarrollo malicioso que ha ofrecido acceso a datos personales.