Des développeurs malveillants ont réussi à créer des applications qui permettent de récupérer les données personnelles des usagers dans Twitter et Facebook. Identifiés, les deux programmes ont touché plus de neuf millions d'abonnés à Facebook.
au sommaire
Les utilisateurs des réseaux sociauxréseaux sociaux FacebookFacebook et TwitterTwitter ont pu être victimes d'un vol d'informations s'ils ont installé une applicationapplication d'un magasin d'applications tiers, c'est-à-dire autre que le Play Store pour Android ou l'App StoreStore pour iOSiOS. Twitter a d'abord prévenu ses utilisateurs via une annonce sur son site, mettant en cause un kit de développement logiciel (SDK) malveillant, oneAudience.
Lorsqu'un utilisateur s'identifie dans certaines applications, à cause d'un manque de séparationséparation entre les SDK au sein des applications problématiques, oneAudience a pu récupérer l'adresse e-mail, le nom d'utilisateur et le dernier tweet. Le site a indiqué que le problème affectait les utilisateurs AndroidAndroid et n'a trouvé aucune preuve dans la version iOS des applications incriminées. Twitter compte prévenir directement les utilisateurs concernés et a déclaré que « toutefois, si vous pensez avoir téléchargé une application malveillante depuis un magasin d'applications tiers, nous vous recommandons de la supprimer immédiatement. »
Facebook affecté par deux SDK
Un porteporte-parole de Facebook a également déclaré à Engadget avoir découvert deux SDK problématiques, oneAudience donc et un second nommé Mobiburn. Il a notamment indiqué que le problème affectait 9,5 millions d'utilisateurs du réseau social qui seront prochainement notifiés que leurs données ont pu être compromises.
Les deux réseaux sociaux ont désactivé les autorisations pour les applications mises en cause et ont informé AppleApple et GoogleGoogle afin qu'ils puissent prendre des mesures si nécessaire. Visé par Twitter et Facebook, oneAudience indique ne jamais avoir collecté de telles informations et a publié une mise à jour de son SDK, tandis que Mobiburn, dans une déclaration similaire, annonce avoir arrêté toute activité pendant une enquête sur les tierces parties.