MADRID, 26 (Portaltic/EP)
Un kit de desarrollo de 'software' (SDK) malicioso ha permitido el acceso a la información personal de algunos usuarios en Twitter y Facebook, como su correo electrónico o su nombre, al introducirse en aplicaciones de terceros a las que el usuario había dado su permiso para acceder a ambas redes sociales, aunque ya han sido retiradas.
Twitter ha anunciado, a través de un comunicado, que tienen "constancia de que este SDK fue utilizado para acceder a los datos personales de las personas de al menos algunos propietarios de cuentas de Twitter utilizando Android", aunque señalan que, por el contrario, no tienen constancia de que este SDK haya afectado a los usuarios de Twitter en iOS.
Desde la empresa resaltan que este SDK malicioso no está relacionado con una vulnerabilidad en Twitter, sino con "la falta de aislamiento entre SDK en una aplicación", aseguran. Así, este SDK estaba preparado para atacar a través de aplicaciones de terceros en las que estaba integrado y a las que el usuario concedió acceso completo o determinado a sus cuentas en las redes sociales, en este caso, Twitter y Facebook.
De esta forma, el SDK podría aprovechar una vulnerabilidad en el ecosistema del dispositivo móvil, como explican desde Twitter, que le permitiría acceder y almacenar la información personal que el usuario tiene en su cuenta en la red social, como por ejemplo su correo electrónico, su nombre de usuario o su último 'tuit'.
A pesar de ello, resaltan que no tienen constancia de que este 'malware' haya sido utilizado para tomar el control de una cuenta de Twitter, aunque "es posible que una persona lo pueda hacer", apostillan desde la compañía.
De acuerdo con el informe realizado por varios investigadores en ciberseguridad que ha recibido Twitter sobre el SDK malicioso, este está siendo controlado por oneAudience. Además, aseguran que han informado a Google y Apple sobre este asunto, así como a otros socios de la industria.
Asimismo, señalan que informarán a todos aquellos usuarios de Android que se hayan podido ver afectados por este asunto y les recomiendan que eliminen "inmediatamente" todas aquellas aplicaciones maliciosas que crean haber descargado a través de una tienda de aplicaciones de terceros.
Por otra parte, los usuarios de Facebook también se han visto afectados por este asunto. En un comunicado de la compañía a CNBC, esta ha asegurado que "investigadores de seguridad nos han notificado recientemente sobre dos malos actores, OneAudience y Mobiburn, que estaban pagando a desarrolladores para usar SDK maliciosos en un número de 'apps' disponibles en tiendas de 'apps' populares".
Así, la empresa asegura que tras haberlo sometido a investigación, han eliminado las aplicaciones afectadas de su plataforma. Al igual que Twitter, afirman que notificarán a aquellas personas cuya información creen que "fue probablemente compartida después de que hubieran concedido el permiso a esas 'apps' para acceder a la información de su perfil como nombre, correo electrónico y género", afirman.