Μια ομάδα ακαδημαϊκών περιέγραψε αυτήν την εβδομάδα μια μέθοδο που μπορεί να βοηθήσει στον προσδιορισμό του πότε οι προγραμματιστές εφαρμογών Facebook μοιράζονται κρυφά τα δεδομένα χρηστών με τρίτα μέρη.

Ονομάστηκε CanaryTrap, η τεχνική αναλύθηκε λεπτομερώς από ακαδημαϊκούς από το Πανεπιστήμιο της Αϊόβα σε έρευνα που δημοσιεύτηκε τη Δευτέρα, με τίτλο "CanaryTrap: Εντοπισμός κακής χρήσης δεδομένων από εφαρμογές τρίτων σε διαδικτυακά κοινωνικά δίκτυα".

Στον πυρήνα του, το CanaryTrap περιστρέφεται γύρω από την έννοια ενός honeytoken. Τα Honeytokens είναι εικονικές λέξεις ή αρχεία που προστίθενται σε βάσεις δεδομένων

Με την ευρεία έννοια του όρου, τα honeytokens αποτελούν πλαστά δεδομένα (fake data) ή αρχεία που οι μηχανικοί πληροφορικής "φυτεύουν" στο δίκτυό τους. Όταν προσπελαστούν ή γίνει χρήση των δεδομένων, οι διαχειριστές (admins) μπορούν να εντοπίσουν κακόβουλη δραστηριότητα.

Στο πλαίσιο της έρευνας του CanaryTrap, τα honeytokens ήταν μοναδικές διευθύνσεις ηλεκτρονικού ταχυδρομείου που χρησιμοποιούσαν ακαδημαϊκοί για την εγγραφή σε λογαριασμούς Facebook.

Μετά την δημιουργία ενός λογαριασμού, οι ερευνητές εγκατέστησαν μια εφαρμογή Facebook, τη χρησιμοποίησαν για 15 λεπτά και, στη συνέχεια, απεγκατέστησαν την εφαρμογή από τον λογαριασμό.

Στη συνέχεια, οι ερευνητές παρακολούθησαν τα εισερχόμενα email για νέα κίνηση στο δίκτυο. Εάν στα εισερχόμενα λαμβάνονταν νέα μηνύματα ηλεκτρονικού ταχυδρομείου, ήταν σαφές ότι η εφαρμογή κοινοποίησε τα δεδομένα του χρήστη σε τρίτο μέρος.

Επιπλέον, η ερευνητική ομάδα είπε επίσης ότι χρησιμοποίησε το εργαλείο διαφάνειας διαφημίσεων (ad transparency tool) του Facebook που ονομάζεται "Γιατί το βλέπω αυτό;" για να παρακολουθεί εάν κάποιος διαφημιστής χρησιμοποίησε οποιοδήποτε honeytoken email, στοχεύοντας σε χρήστες μεσω διαφημίσεων στο Facebook.

Η ακαδημαϊκή ομάδα δήλωσε ότι δοκίμασαν 1.024 εφαρμογές Facebook χρησιμοποιώντας την τεχνική CanaryToken και εντόπισαν 16 εφαρμογές που μοιράστηκαν διευθύνσεις email με τρίτα μέρη και είχαν ως αποτέλεσμα οι χρήστες να λαμβάνουν email από άγνωστους αποστολείς.

Από τις 16, μόνο εννέα εφαρμογές αποκάλυψαν ότι είχαν σχέση με τον αποστολέα email. Αυτή η σχέση ήταν συνήθως με έναν άσχετο ιστότοπο ή έναν συνεργάτη, αλλά ακόμη και αν οι εφαρμογές περιείχαν συμφωνίες κοινής χρήσης δεδομένων, τα εισερχόμενα συνήθως λάμβαναν μηνύματα ηλεκτρονικού ταχυδρομείου που δεν σχετίζονταν με την εφαρμογή.

Ωστόσο, επτά εφαρμογές δεν αποκάλυψαν ότι μοιράστηκαν δεδομένα χρηστών με τρίτους. Από αυτές, η ερευνητική ομάδα δήλωσε ότι δεν μπόρεσαν να προσδιορίσουν εάν οι προγραμματιστές της εφαρμογής κοινοποίησαν δεδομένα σε τρίτους επιτηδευμένα και χωρίς την άδεια του χρήστη ή εάν τα δεδομένα χρήστη διέρρευσαν στο διαδίκτυο λόγω ενός συμβάντος ασφαλείας, για παράδειγμα λόγω εκτεθειμένου διακομιστή ή εισβολή από χάκερ.

Παρ 'όλα αυτά, προέκυψε κάποια κακή κυκλοφορία email, αποκαλύπτοντας ότι στην περίπτωση των honeytokens που μοιράζονται από τρεις εφαρμογές, τα εισερχόμενα email αφορούσαν εκβιασμούς, ήταν spam ή αποτελούσαν διάφορες άλλες απάτες.

Οι ερευνητές δήλωσαν ότι βρήκαν μόνο 16 εφαρμογές που εμπλέκονται με αυτήν τη συμπεριφορά (αναφέρονται παρακάτω), αλλά αυτό οφείλεται στο γεγονός ότι χρησιμοποίησαν μόνο ένα μικρό δείγμα 1.024 εφαρμογών. Εάν επρόκειτο να δοκιμαστούν περισσότερες εφαρμογές, οι ερευνητές εκτιμούν οτι θα έβρισκαν περισσότερες εφαρμογές που μοιράζονται δεδομένα χρηστών με τρίτους.

Οι ακαδημαϊκοί άνοιξαν την έρευνα CanaryTrap και σχετικά εργαλεία στο GitHub. Είπαν ότι μοιράστηκαν το CanaryTrap "για να βοηθήσουν ανεξάρτητους παρατηρητές να εντοπίσουν την κακή χρήση δεδομένων που μοιράζονται με εφαρμογές τρίτων χωρίς να απαιτείται συνεργασία από διαδικτυακά κοινωνικά δίκτυα".

Επιπλέον, η ερευνητική ομάδα διεξήγαγε επιπρόσθετη έρευνα έναντι 1.024 εφαρμογών, με τα ακόλουθα ευρήματα:

61 εφαρμογές Facebook που δεν περιλαμβάνουν συνδέσμους προς την πολιτική απορρήτου τους
42 εφαρμογές Facebook που δεν ανταποκρίνονται στα αιτήματα διαγραφής δεδομένων
13 εφαρμογές Facebook που συνεχίζουν να στέλνουν email μετά την αποδοχή της διαγραφής δεδομένων

Ένας εκπρόσωπος του Facebook δήλωσε ότι η εταιρεία εξακολουθεί να αναλύει το έγγραφο του CanaryTrap.

Ωστόσο, το κοινωνικό δίκτυο γνωρίζει πολύ καλά το πρόβλημα του "προγραμματιστή εφαρμογών απατεώνων" και τα τελευταία χρόνια, έχει λάβει μέτρα για να εξαφανίσει αυτά τα θέματα από τη βάση των προγραμματιστών του.

Τον τελευταίο χρόνο, το Facebook μήνυσε αρκετούς προγραμματιστές και έχει τροποποιήσει τους όρους παροχής υπηρεσιών και τις προγραμματιστικές πολιτικές για να αυξήσει την επιβολή αυστηρών ελέγχων δεδομένων χρήστη.

Η τελευταία αλλαγή στον αγώνα κατά των καταχρήσεων στο Facebook από προγραμματιστές, πραγματοποιήθηκε την Τετάρτη, όταν το Facebook ανακοίνωσε την πιο πρόσφατη σειρά ενημερώσεων για τους Όρους πλατφόρμας και τις Πολιτικές προγραμματιστών, η οποία θα τεθεί σε ισχύ στις 31 Αυγούστου 2020.

Η εταιρεία δήλωσε ότι οι νέοι όροι περιορίζουν τις πληροφορίες που μπορούν να μοιραστούν οι προγραμματιστές με τρίτα μέρη χωρίς να λαμβάνουν ρητή συγκατάθεση από τους χρήστες και επίσης διασφαλίζουν ότι οι προγραμματιστές κατανοούν σαφώς ότι έχουν την ευθύνη να προστατεύουν τα δεδομένα των χρηστών εάν χρησιμοποιούν την πλατφόρμα και τη βάση χρηστών του Facebook για να δημιουργήσουν τη δική τους επιχείρηση. Θεωρητικά, αυτές οι νέες αλλαγές αντιμετωπίζουν τα προβλήματα που ανέφερε η ομάδα CanaryTrap.

Η ερευνητική ομάδα θα παρουσιάσει την έκθεσή τους φέτος, στο ετήσιο συνέδριο Privacy Enhancing Technologies Symposium (PETS).

 

πηγή: ZDnet