BeTech: noticias de tecnología

VULNERABILIDAD

Agujero de seguridad en Twitter y Facebook: datos expuestos en Android, iOS se ha salvado

Dos de las mayores redes sociales confirman que un SDK malicioso ha provocado un acceso a datos privados.

Agujero de seguridad en Twitter y Facebook: datos expuestos en Android, iOS se ha salvado

Menuda noticia para iniciar la semana: Facebook y Twitter, dos de las mayores redes sociales del mundo, han anunciado hoy una brecha de seguridad que ha provocado que los datos de “cientos de usuarios“ se hayan visto expuestos y por tanto que haya habido un acceso a ellos. Un acceso provocado no directamente por ambas redes, sino por varias apps programadas a posta con código malicioso y subidas a las tiendas de aplicaciones.

One Audience SDK

Revelado primero por la web de la CNBC, el problema de seguridad ha sido confirmado después por las propias Facebook y Twitter. De hecho, la red de microblogging ha sacado un comunicado oficial en el que explica lo sucedido, aclarando que la vulnerabilidad no ha sido provocada por un fallo en las infraestructuras de red de Facebook o Twitter (que son compañías independientes, por cierto), sino que se ha debido a un código malicioso Third Party del que fueron informadas por investigadores de seguridad que encontraron la brecha.

Según Twitter, “recientemente hemos recibido un informe sobre un kit de desarrollo de software (SDK) malicioso para dispositivos móviles que pertenece a OneAudience. Nuestro equipo de seguridad determinó que es posible que el SDK malicioso, el cual podría estar integrado en una aplicación móvil, aproveche una vulnerabilidad en el entorno móvil para permitir el acceso y la sustracción de información personal (correo electrónico, nombre de usuario, último Tweet) mediante la utilización del SDK malicioso. Si bien no tenemos evidencia que sugiera que esto se utilizó para tomar el control de una cuenta de Twitter, es posible que una persona sí pueda hacerlo”.

Android afectado, iOS no

Twitter reconoce que la filtración ha sido real y a afectado a usuarios Android, ya que “tenemos evidencia de que este SDK se utilizó para acceder a los datos personales de, al menos, algunos titulares de cuentas de Twitter que usan Android". Sin embargo, "no tenemos evidencia de que la versión para iOS de este SDK malicioso se haya dirigido a personas que usan Twitter para iOS”, por lo que al menos, en el caso de Twitter, los usuarios de iPhone y iPad pueden estar tranquilos.

Twitter ya ha avisado a Google y a Apple sobre este SDK malicioso para que puedan tomar medidas adicionales si es necesario. Asimismo “también informamos sobre este problema a otros socios del sector”, reseñando que “este problema no se debe a una vulnerabilidad en el software de Twitter, sino a la falta de aislamiento entre los SDK dentro de una aplicación”.

A las personas que usan Twitter para Android y que puedan haber sido afectadas por este problema “les enviaremos una notificación al respecto de forma directa”. Si crees que puedes haber descargado una aplicación maliciosa desde una tienda de aplicaciones de terceros, deberías eliminarla de inmediato. Puedes ver una lista de todas las apps de terceros a las que les brindaste acceso a tu cuenta de Twitter aquí. Si no reconoces ninguna o si no las usas, lo mejor es que les revoques el acceso para mantener tu cuenta segura.

Facebook ha borrado esas apps

En un comunicado a la CNBC, Facebook también ha señalado la reciente notificación sobre One Audience y también sobre otro ‘actor’, Mobiburn, “que estaban pagando a desarrolladores para usar SDKs maliciosos en una cantidad de apps disponibles en tiendas de apps populares”. Facebook, tras investigar, las ha eliminado de “nuestra plataforma por violar las políticas de nuestras plataformas” y avisado por la vía legal a One Audience y Mobiburn para que paren.

Al igual que Twitter, Facebook notificará “a las personas cuya información creemos que ha sido compartida tras conceder permisos a estas apps para acceder a su información de perfil, como nombre, eMail o género“.