Cyberthreat.id - Dua kit pengembangan perangkat lunak pihak ketiga yang diintegrasikan ratusan ribu aplikasi Android kedapatan memegang akses tidak sah ke data pengguna yang terkait dengan akun media sosial mereka.

The Hacker News menuliskan bahwa dalam posting blog yang diterbitkan dua hari lalu, Twitter mengungkapkan bahwa SDK (software development kit) yang dikembangkan oleh OneAudience berisi komponen yang melanggar privasi yang mungkin telah mengirimkan beberapa data pribadi penggunanya ke server OneAudience.

Menyusul pengungkapan Twitter, Facebook merilis pernyataan yang mengungkapkan bahwa SDK dari perusahaan lain, Mobiburn, juga sedang diselidiki untuk aktivitas jahat serupa yang mungkin telah mengekspos penggunanya yang terhubung dengan aplikasi Android tertentu ke perusahaan pengumpulan data.

OneAudience dan Mobiburn adalah layanan monetisasi data yang membayar pengembang untuk mengintegrasikan SDK mereka ke dalam aplikasi, yang kemudian mengumpulkan data perilaku pengguna dan kemudian menggunakannya dengan pengiklan untuk pemasaran yang ditargetkan.

Secara umum, kit pengembangan perangkat lunak pihak ketiga yang digunakan untuk tujuan iklan tidak seharusnya memiliki akses ke informasi pribadi Anda, kata sandi akun, atau token akses rahasia yang dihasilkan selama proses 'Login dengan Facebook' atau 'Login dengan Twitter'.

Namun, dilaporkan, kedua SDK jahat mengandung kemampuan untuk diam-diam dan secara tidak sah memanen data pribadi ini, yang sebaliknya Anda hanya punya akses pengembang aplikasi untuk mengakses dari akun Twitter atau Facebook Anda.

"Masalah ini bukan karena kerentanan dalam perangkat lunak Twitter, melainkan kurangnya isolasi antara SDK dalam suatu aplikasi," Twitter mengklarifikasi ketika mengungkapkan tentang insiden pengumpulan data.

Jadi, rentang data yang terbuka didasarkan pada tingkat akses yang terpengaruh yang diberikan pengguna saat menghubungkan akun media sosial mereka ke aplikasi yang rentan.

Data ini biasanya termasuk alamat email pengguna, nama pengguna, foto, tweet, serta token akses rahasia yang bisa saja disalahgunakan untuk mengendalikan akun media sosial.

"Meskipun kami tidak memiliki bukti yang menunjukkan bahwa ini digunakan untuk mengendalikan akun Twitter, ada kemungkinan seseorang dapat melakukannya," kata Twitter.

"Kami memiliki bukti bahwa SDK ini digunakan untuk mengakses data pribadi orang untuk setidaknya beberapa pemegang akun Twitter yang menggunakan Android; namun, kami tidak memiliki bukti bahwa versi iOS dari SDK jahat ini menargetkan orang yang menggunakan Twitter untuk iOS."

Twitter juga telah memberi tahu Google dan Apple tentang SDK berbahaya dan menyarankan pengguna untuk hanya mengunduh aplikasi dari toko aplikasi pihak ketiga dan secara berkala meninjau aplikasi yang berwenang.

Sementara itu, dalam pernyataan yang diberikan kepada CNBC, Facebook mengkonfirmasi bahwa mereka telah menghapus aplikasi dari platformnya karena melanggar kebijakannya dan mengeluarkan surat gencatan dan penghentian terhadap One Audience dan Mobiburn.

"Peneliti keamanan baru-baru ini memberi tahu kami tentang dua aktor jahat, One Audience dan Mobiburn, yang membayar pengembang untuk menggunakan kit pengembang perangkat lunak berbahaya (SDK) di sejumlah aplikasi yang tersedia di toko aplikasi populer," kata Facebook.

Menanggapi hal ini, OneAudience mengumumkan untuk mematikan SDK-nya dan juga memberikan pernyataan yang mengatakan, "data ini tidak pernah dimaksudkan untuk dikumpulkan, tidak pernah ditambahkan ke database kami dan tidak pernah digunakan."

"Kami secara proaktif memperbarui SDK kami untuk memastikan bahwa informasi ini tidak dapat dikumpulkan pada 13 November 2019. Kami kemudian mendorong versi baru SDK ke mitra pengembang kami dan mengharuskan mereka memperbarui ke versi baru ini," kata OneAudience.

Kedua perusahaan media sosial sekarang berencana untuk segera memberi tahu penggunanya yang mungkin terkena dampak masalah ini.[]