Facebook 和 Twitter 昨日同時公布有數以百計帳戶,有機會因為用戶在第三方手機軟件上登入該服務而被軟件開發者不當取得個人資料。這些手機軟件都使用了由 One Audience 或 Mobiburn 提供的惡意軟件開發工具( SDK )。
Twitter 發表聲明,指收到保安研究人員的報告發現由 One Audience 提供的惡意 SDK ,可以讓第三方開發者取得 Twitter 用戶的個人資料。 Twitter 保安小組發現這些 SDK 可以利用流動生態系統的漏洞,只要用戶在嵌入了那些 SDK 的軟件如《 Giant Square 》和《 Photofy 》上,以 Twitter 帳戶來登入的話,就會讓開發者取得用戶的電郵、用戶名稱和最近帖文。
Twitter 指雖然有人可以利用取得的個人資料來控制受害者帳戶,但現時未有證據證明有帳戶被騎劫。
Twitter 指他們有證據顯示有部分使用 Android 系統的帳戶資料被這些 SDK 存取,但就未有證據證明這些惡意 SDK 的 iOS 版本以 iOS 版 Twitter 用戶為目標。而 Twitter 就已經將事件通知了 Google 和 Apple 。
另一方面, Facebook 就發表聲明,指發現 One Audience 和 Mobiburn 付錢給開發者在多款軟件中使用他們的惡意 SDK 。 Facebook 基於違反平台政策已經移除該些軟件,並呼籲用戶謹慎選擇給予哪些軟件存取他們社交網絡帳戶的存取權限。
兩間公司都表示將會通知受影響用戶。
