Agujero de seguridad en Twitter y Facebook: datos expuestos en Android, iOS se ha salvado

Menuda noticia para iniciar la semana: Facebook y Twitter, dos de las mayores redes sociales del mundo, han anunciado hoy una brecha de seguridad que ha provocado que los datos de ¡°cientos de usuarios¡° se hayan visto expuestos y por tanto que haya habido un acceso a ellos. Un acceso provocado no directamente por ambas redes, sino por varias apps programadas a posta con c¨®digo malicioso y subidas a las tiendas de aplicaciones.

One Audience SDK

Revelado primero por la web de la CNBC, el problema de seguridad ha sido confirmado despu¨¦s por las propias Facebook y Twitter. De hecho, la red de microblogging ha sacado un comunicado oficial en el que explica lo sucedido, aclarando que la vulnerabilidad no ha sido provocada por un fallo en las infraestructuras de red de Facebook o Twitter (que son compa?¨ªas independientes, por cierto), sino que se ha debido a un c¨®digo malicioso Third Party del que fueron informadas por investigadores de seguridad que encontraron la brecha.

Seg¨²n Twitter, ¡°recientemente hemos recibido un informe sobre un kit de desarrollo de software (SDK) malicioso para dispositivos m¨®viles que pertenece a OneAudience. Nuestro equipo de seguridad determin¨® que es posible que el SDK malicioso, el cual podr¨ªa estar integrado en una aplicaci¨®n m¨®vil, aproveche una vulnerabilidad en el entorno m¨®vil para permitir el acceso y la sustracci¨®n de informaci¨®n personal (correo electr¨®nico, nombre de usuario, ¨²ltimo Tweet) mediante la utilizaci¨®n del SDK malicioso. Si bien no tenemos evidencia que sugiera que esto se utiliz¨® para tomar el control de una cuenta de Twitter, es posible que una persona s¨ª pueda hacerlo¡±.

Android afectado, iOS no

Twitter reconoce que la filtraci¨®n ha sido real y a afectado a usuarios Android, ya que ¡°tenemos evidencia de que este SDK se utiliz¨® para acceder a los datos personales de, al menos, algunos titulares de cuentas de Twitter que usan Android". Sin embargo, "no tenemos evidencia de que la versi¨®n para iOS de este SDK malicioso se haya dirigido a personas que usan Twitter para iOS¡±, por lo que al menos, en el caso de Twitter, los usuarios de iPhone y iPad pueden estar tranquilos.

Twitter ya ha avisado a Google y a Apple sobre este SDK malicioso para que puedan tomar medidas adicionales si es necesario. Asimismo ¡°tambi¨¦n informamos sobre este problema a otros socios del sector¡±, rese?ando que ¡°este problema no se debe a una vulnerabilidad en el software de Twitter, sino a la falta de aislamiento entre los SDK dentro de una aplicaci¨®n¡±.

A las personas que usan Twitter para Android y que puedan haber sido afectadas por este problema ¡°les enviaremos una notificaci¨®n al respecto de forma directa¡±. Si crees que puedes haber descargado una aplicaci¨®n maliciosa desde una tienda de aplicaciones de terceros, deber¨ªas eliminarla de inmediato. Puedes ver una lista de todas las apps de terceros a las que les brindaste acceso a tu cuenta de Twitter aqu¨ª. Si no reconoces ninguna o si no las usas, lo mejor es que les revoques el acceso para mantener tu cuenta segura.

Facebook ha borrado esas apps

En un comunicado a la CNBC, Facebook tambi¨¦n ha se?alado la reciente notificaci¨®n sobre One Audience y tambi¨¦n sobre otro ¡®actor¡¯, Mobiburn, ¡°que estaban pagando a desarrolladores para usar SDKs maliciosos en una cantidad de apps disponibles en tiendas de apps populares¡±. Facebook, tras investigar, las ha eliminado de ¡°nuestra plataforma por violar las pol¨ªticas de nuestras plataformas¡± y avisado por la v¨ªa legal a One Audience y Mobiburn para que paren.

Al igual que Twitter, Facebook notificar¨¢ ¡°a las personas cuya informaci¨®n creemos que ha sido compartida tras conceder permisos a estas apps para acceder a su informaci¨®n de perfil, como nombre, eMail o g¨¦nero¡°.