Los investigadores encuentran que algunas aplicaciones de Facebook de terceros hacen mal uso de las direcciones de correo electrónico


Según un estudio realizado por investigadores de la Universidad de Iowa, algunas aplicaciones de Facebook de terceros podrían hacer un mal uso de los datos del usuario para ransomware, spam y publicidad dirigida. Su trabajo, que aún no ha sido revisado por expertos, utilizó una herramienta llamada CanaryTrap junto con la herramienta de transparencia publicitaria de Facebook para detectar usos no detectados de la información personal de los usuarios.

Facebook aloja toneladas de aplicaciones de terceros a las que se puede acceder miles de millones de cuentas con información como direcciones de correo electrónico, fechas de nacimiento, género y preferencias. Para empeorar las cosas, es difícil detectar el uso indebido de datos por estas aplicaciones porque almacenan datos en servidores que están fuera del área de responsabilidad de Facebook.

Para ser coautores del estudio, CanaryTrap desarrolló una herramienta que contiene cuentas de correo electrónico monitoreadas "honeytokens" para detectar el uso de datos no autorizados. Primero, CanaryTrap comparte un token de miel con una aplicación de terceros, y luego los investigadores identifican a los anunciantes que han compartido los tokens de miel. Los anunciantes en Facebook pueden usar direcciones de correo electrónico para dirigir anuncios a audiencias personalizadas. Los coautores utilizaron esta función al verificar si los anunciantes podían ser reconocidos como aplicaciones objetivo. Si esto no fuera posible, los investigadores asumieron que las direcciones fueron mal utilizadas.

Debido a que el sistema antiabuso de Facebook impide el registro masivo de cuentas y limita la capacidad de rotar las direcciones asociadas con las cuentas con frecuencia, CanaryTrap se escala. Fue necesario diseñar dos marcos: un marco de matriz y un marco de matriz . El marco de la matriz rotó las direcciones mientras se mantenía el mapeo uno a uno entre los honeytokens compartidos y las aplicaciones, mientras que el marco de la matriz mapeó la aplicación de uso indebido de datos a múltiples aplicaciones al compartir un honeytoken.

VB Transform 2020 en línea – 15.-17. Julio . Únase a los principales líderes de IA: regístrese para la transmisión en vivo gratuita.

Durante más de un año, los coautores han utilizado CanaryTrap en 1.024 aplicaciones de Facebook de terceros. Como Facebook no proporciona un índice para aplicaciones de terceros, han compilado una base de datos de 25.800 aplicaciones para solicitar direcciones de correo electrónico que fueron reunidas por otros investigadores, de los cuales seleccionaron al azar 1.024.

El equipo de investigación creó un servidor de correo electrónico y usó una lista de nombres populares para crear cuentas que coinciden con la plantilla "firstname-lastname@example.com" (por ejemplo, john-doe @ ejemplo. com). Luego registraron un total de tres cuentas de Facebook y establecieron la configuración de privacidad para que la información de las cuentas, incluidas las direcciones de correo electrónico, permaneciera privada para todas las aplicaciones excepto las instaladas.

Dieciséis aplicaciones de terceros compartieron direcciones con remitentes no reconocidos de los 1.024, según los coautores. De estas, nueve aplicaciones tenían una relación revelada con los remitentes, que generalmente eran servicios externos (por ejemplo, servicios de autenticación de usuarios), sitios web asociados o asociados, o empresas que habían comprado la aplicación de Facebook. Los siete restantes tenían una relación desconocida, lo que significa que los remitentes pueden haber tenido acceso a los datos del usuario debido a infracciones o fugas en los servidores de la aplicación o mediante acuerdos de intercambio de datos secretos.

Dieciséis de 1.024 aplicaciones pueden no parecer mucho. Sin embargo, extrapolar a las decenas de miles de aplicaciones de terceros disponibles a través de Facebook puede significar que miles de aplicaciones usen mal el correo electrónico y otra información personal.

Estas son las 16 aplicaciones:

  • Safexbikes Motorcycle Superstore
  • WeWanted
  • Printi BR API
  • JustFashionNow
  • PopJulia
  • MyJapanBox
  • Nyx CA
  • Toms Hardware Guide-IT Pro
  • Alex & # 39; primera aplicación
  • Inicio de sesión en la propiedad de Tailandia [19659012] Hop-on, Hop-off
  • Leiturinha
  • The Breast Expansion Story Club
  • Jacky & # 39; s Electronics [19659012] Berrykitchen.com
  • uCoz.es Inicio de sesión

Los investigadores informan que tres de las aplicaciones fueron responsables de 76 correos electrónicos maliciosos, incluidas estafas de ransomware y spam de Viagra. Nueve de las aplicaciones podrían estar vinculadas a 79 correos electrónicos "no relacionados", incluidas promociones, enlaces a listas de productos y boletines, una posible violación de los términos de servicio de Facebook, que requiere que las aplicaciones informen claramente a los usuarios sobre el uso de datos por parte de otras partes. Y dos de las aplicaciones, Safexbikes Motorcycle Superstore y Printi BR API, mostraron evidencia ocasional de que se violaron sus sitios web anfitriones.

“Hasta la fecha, no hemos recibido una divulgación de violación de datos de ninguno de los sitios web anfitriones para estas aplicaciones. Los coautores escribieron y encontraron que seis de las 1.024 aplicaciones que analizaron no contenían ninguna política de privacidad.

Después de implementar CanaryTrap, los investigadores identificaron a 47 anunciantes únicos que habían subido direcciones de correo electrónico de Honeytoken para la orientación de anuncios utilizando la herramienta de transparencia publicitaria de Facebook. Nueve no fueron reconocidos, lo que indica que ninguna de las aplicaciones reveló una relación con los remitentes.

En aras de la minuciosidad, los investigadores trataron de contactar a 100 editores de aplicaciones de quienes enviaron correos electrónicos. Después de enviar con éxito correos electrónicos del 87 al 13, no pudieron ser contactados debido a errores en el sitio web y en la entrega: recibieron respuestas de 45 (52%) de los editores. Solo 29 de ellos dijeron que habían eliminado datos o cuentas eliminadas. Aún más preocupante es que 49 de 87 continuaron enviando al menos un correo electrónico después de enviar la solicitud de eliminación de datos del coautor.

“El proceso de solicitar el borrado de datos es difícil de navegar para un laico. Actualmente, Facebook no está desempeñando un papel activo en la eliminación de datos ", escribieron los coautores. “Facebook depende completamente de desarrolladores de aplicaciones de terceros para satisfacer las necesidades de eliminación de datos de los usuarios. Muchas aplicaciones usan pautas para cortar cookies que no cumplen con los términos de uso de Facebook. Es de destacar que, incluso si las aplicaciones ofrecen una política de privacidad compatible, Facebook no tiene un mecanismo sólido para verificar si las aplicaciones son realmente compatibles. “

Dados sus resultados, los investigadores argumentan que Facebook debería exigir a los desarrolladores que implementen datos al recordar solicitudes de eliminación en sus aplicaciones. Este sería un mecanismo fácil de usar para solicitar eliminaciones que podrían respaldar el cumplimiento de las comprobaciones de red. "Las aplicaciones de terceros en las redes sociales en línea que tienen acceso a los datos personales de los usuarios representan una grave amenaza para la privacidad", dijeron.

Facebook tiene un historial pobre de evitar que las aplicaciones accedan a los datos de los usuarios correctamente. En 2018, el Guardian reveló que la compañía de análisis de datos Cambridge Analytica no recibió adecuadamente la información de hasta 87 millones de usuarios de Facebook a través de una prueba de personalidad pagada. Facebook suspendió a Cambridge Analytica y la empresa matriz SCL Group de la plataforma a mediados de marzo de 2018 después de que usaron los datos para crear "perfiles psicológicos" de votantes estadounidenses para la orientación de anuncios.

En junio de 2018, Facebook anunció que un error ha causado que aproximadamente 14 millones de usuarios de Facebook establezcan su configuración predeterminada para compartir todas las publicaciones nuevas en "público". En abril de 2019, se publicaron 500 millones de registros de usuarios de Facebook en los servidores de Amazon Cloud, que contenían información sobre amigos, preferencias, grupos y ubicaciones de registro de los usuarios, así como nombres, contraseñas y direcciones de correo electrónico. [19659002] En respuesta al Cambridge Analytica y otros escándalos, la Comisión Federal de Comercio de los Estados Unidos (FTC, por sus siglas en inglés) impuso nuevas restricciones de privacidad a Facebook en julio pasado, incluido el mandato de suspender aplicaciones de terceros que cumplan con las políticas de la plataforma de la compañía. para no confirmar

Le pedimos a Facebook un comentario. Un portavoz dijo que la compañía está revisando los resultados: actualizaremos esta publicación tan pronto como la escuchemos.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *