Эксперты протестировали 1024 приложения для Facebook с помощью метода CanaryToken.

Команда ученых из Университета Айовы представила метод, позволяющий определить, когда разработчики приложений для Facebook тайно обмениваются пользовательскими данными с третьими сторонами. В основе метода, получившего название CanaryTrap, находится концепция так называемых ханитокенов (honeytoken).

Ханитокены представляют собой поддельные данные, токены или файлы, которые IT-специалисты внедряют в свои сети. Когда к данным обращаются или их используют, администраторы могут зафиксировать вредоносную деятельность.

В контексте CanaryTrap ханитокены были уникальными адресами электронной почты, которые ученые использовали для регистрации учетных записей Facebook. В рамках исследования специалисты после регистрации учетной записи устанавливали приложение для Facebook, использовали его в течение 15 минут, а затем удаляли приложение из аккаунта. Затем исследователи отслеживали входящие электронные письма в поисках трафика. Если в папку «Входящие» поступали новые электронные письма, было ясно, что приложение делится данными пользователя с третьей стороной.

Кроме того, исследовательская группа также использовала инструмент прозрачности рекламы Facebook «Почему я это вижу?», чтобы выяснить, использовал ли рекламодатель какую-либо электронную почту, созданную с помощью ханитокена, для таргетинга рекламы в Facebook.

Эксперты протестировали 1024 приложения для Facebook с помощью CanaryToken и определили 16 программ, которые отправляли адреса электронной почты третьим сторонам. Из 16 приложений только у 9 были какие-либо деловые или партнерские отношения с отправителем электронных писем.

Семь других приложений не указывали, что они делятся пользовательскими данными с посторонними. Исследователям не удалось выяснить, предоставили ли разработчики приложений пользовательские данные третьим сторонам преднамеренно, или же происходила утечка данных в online-режиме в результате нарушений безопасности или действий киберпреступников.

Исследовательская группа также провела дополнительное исследование в отношении 1024 приложений со следующими выводами:

  • 61 Приложения для Facebook не содержат ссылок на их политику конфиденциальности;
  • 42 приложения для Facebook не отвечают на запросы на удаление данных;
  • 13 приложений для Facebook продолжают отправлять электронные письма после подтверждения удаления данных.

Источник: securitylab