Ακαδημαϊκοί από το πανεπιστήμιο της Αϊόβα, έχουν εφεύρει μία νέα μέθοδο για να εντοπίζουν πότε μία εφαρμογή Facebook, μοιράζεται δεδομένα με τρίτους.
Η μέθοδος ονομάζεται CanaryTrap και λεπτομέρειες σχετικά με αυτή κυκλοφόρησαν από την ομάδα σε ένα έγγραφο με τίτλο: “CanaryTrap: Detecting Data Misuse by Third-Party Apps on Online Social Networks“.
H τεχνική βασίζεται στα λεγόμενα honeytokens, τα οποία είναι πλαστά δεδομένα που τοποθετούνται σε ένα δίκτυο από τους ειδικούς ασφαλείας. Μόλις αυτά τα δεδομένα παραβιαστούν, οι ερευνητές είναι σε θέση να εντοπίσουν τυχόν κακόβουλη δραστηριότητα.
Προκειμένου να παρουσιάσουν την τεχνική τους, οι ακαδημαϊκοί χρησιμοποίησαν emails με τα οποία είχαν δημιουργήσει λογαριασμούς Facebook. Οι ερευνητές εγκατέστησαν μια εφαρμογή Facebook, τη χρησιμοποίησαν για 15 λεπτά και στη συνέχεια απεγκατέστησαν την εφαρμογή από τον λογαριασμό.
Έπειτα οι ερευνητές παρακολούθησαν τα εισερχόμενα email. Όταν τα εισερχόμενα συνέχιζαν να λαμβάνουν μηνύματα ήταν φανερό ότι η εφαρμογή είχε μοιραστεί δεδομένα με τρίτους.
Επιπλέον, η ερευνητική ομάδα χρησιμοποίησε το εργαλείο του Facebook ” Why Am I Seeing This;” για να παρακολουθεί εάν κάποιος από τους διαφημιζόμενους, χρησιμοποίησε οποιοδήποτε email για να στοχεύσει χρήστες με διαφημίσεις.
Η ομάδα χρησιμοποίησε το CanaryTrap σε 1.024 εφαρμογές Facebook και διαπίστωσε ότι τουλάχιστον 16 από αυτές μοιράζονταν τα email τους με τρίτους, αφού λάμβαναν μηνύματα από άγνωστους αποστολείς. Από αυτές, οι εννέα ανέφεραν ότι μοιράζονται κάποια δεδομένα με ορισμένους συνεργάτες της εταιρείας, οι υπόλοιπες εφτά όμως εφαρμογές δεν ανέφεραν πουθενά ότι μοιράζονται δεδομένα με τρίτους.
Οι ερευνητές, ανακάλυψαν επίσης ότι ορισμένα από τα μηνύματα που έλαβαν ήταν κακόβουλα ή spam.
Σύμφωνα με τους ερευνητές, το δείγμα που εξέτασαν ήταν αρκετά μικρό, οπότε είναι σχεδόν σίγουρο ότι υπάρχουν πολλές παραπάνω εφαρμογές Facebook που μοιράζονται δεδομένα με τρίτους.
Οι ακαδημαϊκοί δημοσίευσαν την έρευνα CanaryTrap και σχετικά εργαλεία στο GitHub, για να βοηθήσουν κι άλλους ερευνητές ασφαλείας.
Ένας εκπρόσωπος του Facebook δήλωσε ότι η εταιρεία εξακολουθεί να μελετά το έγγραφο CanaryTrap. Ήδη από πέρυσι, το Facebook μήνυσε αρκετούς προγραμματιστές και τροποποίησε τους όρους παροχής υπηρεσιών και τις πολιτικές του, προκειμένου να αποκτήσει περισσότερη δύναμη στην επιβολή αυστηρών ελέγχων δεδομένων χρήστη.
