Terceros investigadores de seguridad ponen en aviso a las plataformas Twitter y Facebook ante la existencia del SDK (kit de desarrollo de software) One Audience , un SDK malicioso que habría permitido que algunos desarrolladores pudieran haber accedido a datos personales de las cuentas de algunos usuarios de manera indebida a través de terceras aplicaciones que permitan el inicio de sesión con cuentas en estas plataformas.
Por
el momento, los usuarios que hayan podido verse afectados pertenecen a
la plataforma Android, no existiendo de momento evidencias de problemas
de seguridad por el uso de este SDK en la plataforma iOS.
Twitter ha emitido un comunicado al respecto, señalando que la vulnerabilidad no se debe a su software sino más bien a la «falta de aislamiento entre los SDK dentro de una aplicación».
Apuntan que la vulnerabilidad habría permitido a terceras aplicaciones acceder al correo electrónico, nombre de usuario, y al último Tweet. No cuentan con evidencias de que se haya podido explotar esta vulnerabilidad para controlar las cuentas de los usuarios afectadas, aunque consideran que habría sido posible.
Lo que sí tienen evidencias es de que se usó este SDK para acceder a las cuentas de algunos usuarios en la plataforma Android. Recomiendan desinstalar las aplicaciones maliciosas que hubieran podido obtener desde tienda de aplicaciones de terceros, así como la revocación de aplicaciones que ya no usen o no reconozcan para mantener sus cuentas seguras.
Se comprometen a informar a los usuarios que hayan podido verse afectados, habiendo informado de la situación de la vulnerabilidad a Google, Apple y a terceros socios para que también tomen medidas.
Como señalan en la CNBC, Facebook también ha tomado cartas en el asunto, indicando al citado medio que ya ha eliminado el inicio de sesión a cualquier aplicación que aproveche la vulnerabilidad, además de enviar cartas de cese y desistimiento a oneAudience y a Mobiburn, otro SDK con funcionamiento similar a oneAudience.
De momento no se dan cifras exactas del alcance de esta vulnerabilidad, aunque se habla de que podría haber afectado a cientos de usuarios.