Почти 26 000 приложений злоупотребляют программными интерфейсами, чтобы тайно получать данные пользователей.
Специалисты компании Trustlook обнаружили около 26 000 вредоносных приложений, которые могут получать из профиля в социальной сети целый ряд сведений, включая имя, местоположение и адрес электронной почты, используя API Facebook для входа в систему или обмена сообщениями.
Все найденные вредоносные приложения могли записывать аудио, делать снимки или совершать сетевые вызовы даже в неактивном состоянии. Специалисты выяснили это, проанализировав более 80 составляющих каждой программы, включая библиотеки, вызовы по API, сетевую активность и выданные разрешения.
Эксперты Trustlook обращают внимание, что скандал со сбором данных компанией Cambridge Analytica был связан именно с функцией «Войти через Facebook». Регистрируясь в приложении с помощью учетной записи в социальной сети, пользователи предоставляли разработчикам информацию профиля, а также сведения о своих друзьях и подписчиках.
Несмотря на то, что впоследствии Facebook внесла существенные изменения в функционал интерфейса, разработчики все еще могут получать с их помощью данные, в том числе без разрешения пользователей.
Исследователи отметили, что для сбора информации через API разработчики используют не только Facebook, но также Twitter, LinkedIn, Google и Yahoo.
В интервью Threatpost Дэвид Гинсбург (David Ginsburg), вице-президент Trustlook по маркетингу и оценке кибербезопасности, сказал: «Даже если вы очень избирательны при добавлении сторонних приложений, для понимания «Политики конфиденциальности» потребуется степень Гарвардского университета. К примеру, новые правила пользования Instagram (собственность Facebook) составляют (по состоянию на 19 апреля) 3000 слов, и их «трудно читать». Их же «Политика обработки данных» превышает 4000 слов».
Большинство IT-специалистов придерживаются мнения, что правительство должно принимать участие в регулировании сбора данных, однако осознают, что чиновникам не хватает знаний для решения подобных задач. Поэтому в первую очередь свой подход должны менять социальные сети.
«Наша позиция такова: как компания Coca-Cola не хочет, чтобы ее реклама появлялась на некоторых сайтах, так и Facebook должен не хотеть, чтобы разработчики вредоносных приложений использовали его API», — заявляют представители Trustlook.