恶意Android SDK访问Facebook和Twitter用户数据被抓获

数十万个安卓应用程序集成了两个第三方软件开发包，被发现未经授权访问用户与其连接的社交媒体账户相关的数据。

在昨天发布的一篇博客文章中，Twitter披露了由一次听证会包含侵犯隐私的组件，该组件可能已将其用户的部分个人数据传递给OneAudience服务器。

Twitter披露消息后，Facebook今天发布了一份声明，披露另一家公司的SDK，莫比伯恩，也因类似的恶意活动正在接受调查，该活动可能会将其与某些安卓应用程序相关的用户暴露给数据收集公司。

OneAudience和Mobiburn都是数据货币化服务，它们向开发者支付费用，让开发者将他们的SDK集成到应用程序中，然后应用程序收集用户的行为数据，然后与广告商一起使用这些数据进行有针对性的营销。

一般来说，用于广告目的的第三方软件开发包不应访问您的个人身份信息、帐户密码或在“使用Facebook登录”或“使用Twitter登录”过程中生成的秘密访问令牌。

然而，据报道，这两个恶意SDK都具有秘密和未经授权获取这些个人数据的能力，而你只有获得授权的应用程序开发人员才能从你的Twitter或Facebook帐户访问这些数据。

“这个问题不是因为Twitter软件中存在漏洞，而是因为应用程序中的SDK之间缺乏隔离，”Twitter在披露数据收集事件时澄清。

因此，暴露数据的范围取决于受影响用户在将其社交媒体帐户连接到易受攻击的应用程序时提供的访问级别。

这些数据通常包括用户的电子邮件地址、用户名、照片、推文，以及可能被滥用的秘密访问令牌，以控制您连接的社交媒体帐户。

Twitter说：“虽然我们没有证据表明这是用来控制Twitter账户的，但一个人也有可能这样做”。

“我们有证据表明，该SDK被用于访问至少一些使用安卓系统的Twitter账户持有人的个人数据；但是，我们没有证据表明该恶意SDK的iOS版本针对的是使用Twitter进行iOS操作的人。”

Twitter还将恶意SDK告知了谷歌和苹果，并建议用户避免从第三方应用商店下载应用，并定期审查授权应用。

与此同时，在向CNBC提供的一份声明中，Facebook证实，它已因违反其政策而将这些应用程序从其平台上删除，并对一名观众和Mobiburn发出了停止和终止信。

Facebook说：“安全研究人员最近通知我们，有两个坏角色，一个是观众，另一个是Mobiburn，他们付钱给开发者，让他们在流行应用商店中的许多应用中使用恶意软件开发工具包（SDK）”。

作为回应，OneAudience宣布关闭其SDK，并发表声明称，“这些数据从未打算被收集，从未添加到我们的数据库中，也从未被使用。”

OneAudience说：“我们主动更新了SDK，以确保2019年11月13日无法收集到这些信息。然后，我们将SDK的新版本推给了我们的开发合作伙伴，并要求他们更新到这个新版本”。

这两家社交媒体公司现在都计划很快通知可能受到这一问题影响的用户。