WhiteHat News #ID:2018
WhiteHat Support
-
20/03/2017
-
129
-
443 bài viết
Nhiều ứng dụng lợi dụng Facebook đánh cắp thông tin
Một số ứng dụng có trên Google Play đã lợi dụng tính năng đăng nhập qua tài khoản Facebook và Twitter để thu thập dữ liệu cá nhân trái phép.
Trên Twitter, dữ liệu bị đánh cắp bao gồm địa chỉ email, tên người dùng và một số tweet mới nhất, theo CNBC. Giant Square và Photofy là hai trong số những cái tên đã bị phát hiện.
Twitter thừa nhận đã nhận được một số báo cáo từ các nhà nghiên cứu bảo mật, trong đó cho biết kẻ gian đã lợi dụng bộ công cụ phát triển phần mềm (SDK) có tên One Audience để xâm nhập vào dữ liệu cá nhân khi người dùng sử dụng phần mềm Giant Square và Photofy. Thậm chí, nhiều khả năng hacker đã kiểm soát một số tài khoản Twitter thông qua lỗ hổng này, dù chưa có dấu hiệu rõ rệt.
"Điều quan trọng là mọi người cần phải biết rằng lỗ hổng đang tồn tại trên các ứng dụng mà họ sử dụng tài khoản Twitter để kết nối. Họ cần ngắt kết nối và xóa nó lập tức", Lindsay McCallum, phát ngôn viên của Twitter cho biết. "Chúng tôi sẽ thông báo cho những người bị ảnh hưởng, đồng thời gửi báo cáo đến Google và Apple để loại bỏ những phần mềm độc hại này".
Trong khi đó, đại diện Facebook cũng thừa nhận tính năng đăng nhập qua Facebook đã bị dùng cho mục đích xấu. "Các nhà nghiên cứu gần đây đã thông báo cho chúng tôi về One Audience và Mobiburn (một SDK khác cung cấp chức năng tương tự như One Audience). Nhà phát triển đã trả tiền để sử dụng SDK này nhằm thu thập dữ liệu trái phép", Facebook ra thông cáo. "Hai ứng dụng này đòi hỏi quyền truy cập thông tin hồ sơ của người dùng họ như tên, email và giới tính. Do đó, những dữ liệu này có thể đã bị đánh cắp".
Hiện mạng xã hội này đã chặn One Audience và Mobiburn đăng nhập bằng tài khoản Facebook. Bên cạnh đó, hãng khuyến cáo người dùng nên thận trọng khi lựa chọn cách đăng nhập này để tránh bị đánh cắp thông tin.
Twitter thừa nhận, lượng người dùng bị ảnh hưởng "khoảng vài trăm", trong khi Facebook dự định thông báo cho 9,5 triệu người "có khả năng bị xâm phạm tài khoản". Lỗ hổng mới chỉ được phát hiện trên Facebook cho Android, chưa có trường hợp nào trên iOS được ghi nhận.
Mobiburn là cái tên duy nhất đưa ra phản hồi, theo Engadget. Đại diện ứng dụng này cho biết đã vá lỗ hổng hôm 25/11, đồng thời phủ nhận việc lợi dụng nó để thu thập dữ liệu, chia sẻ hoặc kiếm tiền từ Facebook.
Facebook và Twitter là hai cái tên đang đối mặt với sự giám sát chặt chẽ từ các nhà quản lý, cơ quan lập pháp do cho phép nhà phát triển bên thứ ba sử dụng dữ liệu để theo dõi và nhắm mục tiêu người dùng. Vấn đề này được đặc biệt quan tâm kể từ tháng 3/2018, khi công ty phân tích Cambridge Analytica dùng tính năng đăng nhập qua tài khoản để truy cập trái phép 87 triệu hồ sơ Facebook. Một phần trong đó được cho là để nhắm mục tiêu quảng cáo cho ứng viên Donald Trump trong cuộc bầu cử Tổng thống Mỹ năm 2016. Facebook sau đó đã đình chỉ hàng chục nghìn ứng dụng khi điều tra hệ sinh thái của mình.
Trên Twitter, dữ liệu bị đánh cắp bao gồm địa chỉ email, tên người dùng và một số tweet mới nhất, theo CNBC. Giant Square và Photofy là hai trong số những cái tên đã bị phát hiện.
Twitter thừa nhận đã nhận được một số báo cáo từ các nhà nghiên cứu bảo mật, trong đó cho biết kẻ gian đã lợi dụng bộ công cụ phát triển phần mềm (SDK) có tên One Audience để xâm nhập vào dữ liệu cá nhân khi người dùng sử dụng phần mềm Giant Square và Photofy. Thậm chí, nhiều khả năng hacker đã kiểm soát một số tài khoản Twitter thông qua lỗ hổng này, dù chưa có dấu hiệu rõ rệt.
"Điều quan trọng là mọi người cần phải biết rằng lỗ hổng đang tồn tại trên các ứng dụng mà họ sử dụng tài khoản Twitter để kết nối. Họ cần ngắt kết nối và xóa nó lập tức", Lindsay McCallum, phát ngôn viên của Twitter cho biết. "Chúng tôi sẽ thông báo cho những người bị ảnh hưởng, đồng thời gửi báo cáo đến Google và Apple để loại bỏ những phần mềm độc hại này".
Trong khi đó, đại diện Facebook cũng thừa nhận tính năng đăng nhập qua Facebook đã bị dùng cho mục đích xấu. "Các nhà nghiên cứu gần đây đã thông báo cho chúng tôi về One Audience và Mobiburn (một SDK khác cung cấp chức năng tương tự như One Audience). Nhà phát triển đã trả tiền để sử dụng SDK này nhằm thu thập dữ liệu trái phép", Facebook ra thông cáo. "Hai ứng dụng này đòi hỏi quyền truy cập thông tin hồ sơ của người dùng họ như tên, email và giới tính. Do đó, những dữ liệu này có thể đã bị đánh cắp".
Hiện mạng xã hội này đã chặn One Audience và Mobiburn đăng nhập bằng tài khoản Facebook. Bên cạnh đó, hãng khuyến cáo người dùng nên thận trọng khi lựa chọn cách đăng nhập này để tránh bị đánh cắp thông tin.
Twitter thừa nhận, lượng người dùng bị ảnh hưởng "khoảng vài trăm", trong khi Facebook dự định thông báo cho 9,5 triệu người "có khả năng bị xâm phạm tài khoản". Lỗ hổng mới chỉ được phát hiện trên Facebook cho Android, chưa có trường hợp nào trên iOS được ghi nhận.
Mobiburn là cái tên duy nhất đưa ra phản hồi, theo Engadget. Đại diện ứng dụng này cho biết đã vá lỗ hổng hôm 25/11, đồng thời phủ nhận việc lợi dụng nó để thu thập dữ liệu, chia sẻ hoặc kiếm tiền từ Facebook.
Facebook và Twitter là hai cái tên đang đối mặt với sự giám sát chặt chẽ từ các nhà quản lý, cơ quan lập pháp do cho phép nhà phát triển bên thứ ba sử dụng dữ liệu để theo dõi và nhắm mục tiêu người dùng. Vấn đề này được đặc biệt quan tâm kể từ tháng 3/2018, khi công ty phân tích Cambridge Analytica dùng tính năng đăng nhập qua tài khoản để truy cập trái phép 87 triệu hồ sơ Facebook. Một phần trong đó được cho là để nhắm mục tiêu quảng cáo cho ứng viên Donald Trump trong cuộc bầu cử Tổng thống Mỹ năm 2016. Facebook sau đó đã đình chỉ hàng chục nghìn ứng dụng khi điều tra hệ sinh thái của mình.
Theo Vnexpress