Miles de apps maliciosas utilizan API de Facebook
- Vulnerabilidades
Facebook no es la única compañía con sus API integradas en aplicaciones maliciosas. Twitter, LinkedIn, Google y Yahoo ofrecen opciones similares a los desarrolladores, y por lo tanto, los datos de sus usuarios se enfrentan a una exposición similar.
También puedes leer... Privacidad y protección de datos en aplicaciones móviles |
Al menos 25.936 aplicaciones maliciosas están utilizando actualmente una de las API de Facebook, como una API de inicio de sesión o una API de mensajería. Esto permite que las aplicaciones accedan a información de los perfiles de Facebook, como el nombre, la ubicación y la dirección de correo electrónico.
Trustlook descubrió las apps maliciosas con una fórmula, que creó una puntuación de riesgo de las aplicaciones basado en más de 80 piezas de información detectadas en cada aplicación, incluidos los permisos, las bibliotecas, las API arriesgadas y la actividad de la red.
"El escándalo de la sustacción de datos de Cambridge Analytica fue principalmente el resultado de que los desarrolladores abusaran de los permisos asociados con la función Facebook Login", señalan los investigadores de Trustlook. "Cuando las personas usan Facebook Login, otorgan al desarrollador de la aplicación acceso a información de su perfil de Facebook. En 2015, Facebook también permitió a los desarrolladores recopilar información de las redes de amigos de personas que usaban Facebook Login. Eso significa que, si bien un solo usuario puede haber aceptado entregar sus datos, los desarrolladores también podrían acceder a datos sobre sus amigos. Huelga decir que esto ha provocado una gran reacción negativa entre los usuarios de Facebook".
“No es que las 25.936 aplicaciones estén haciendo lo mismo que dio lugar al problema de Cambridge Analytica. Una aplicación maliciosa podría estar haciendo cosas como capturar imágenes y audio cuando se cierra la aplicación, o hacer una cantidad inusualmente grande de llamadas de red", añaden los investigadores.
Para ser justos, Facebook no es la única compañía con sus API integradas en aplicaciones maliciosas. Twitter (que acaba de declarar que vendió datos a una empresa vinculada con Cambridge Analytica), LinkedIn, Google y Yahoo ofrecen opciones similares a los desarrolladores, y por lo tanto, los datos de sus usuarios se enfrentan a una exposición similar, señalan los investigadores.