Forskere finder utætte apps, der udsætter privatlivets fred

En fejl i Facebooks annonceplatform gjorde det muligt for potentielle hackere at afsløre brugernes telefonnumre, ifølge et papir fremlagt af den nordøstlige lektor Alan Mislove på Federal Trade Commission -konferencen PrivacyCon i sidste måned.

Facebook -annoncesystemet er utrolig effektivt til at målrette mod bestemte målgrupper, hvilket har gjort virksomheden så indbringende, Mislove sagde. Men fordi enhver kan blive annoncør, og der er meget lidt gennemsigtighed i, hvilke annoncer der placeres, platformen "kunne bruges til uhyggelige formål, "Mislove sagde. Han demonstrerede hvordan i sin egen forskning.

I tidligere versioner af Facebook -annonceplatformen annoncører kunne målrette mod mennesker baseret på træk og præferencer. For eksempel, et firma, der sælger vandtætte højttalere, kan opsætte annoncer til mænd og kvinder i alderen 16 til 40 år, der har interesse i at svømme, sejlsport, eller vandsport.

Facebook har opdateret systemet for at give annoncører mulighed for at oprette brugerdefinerede målgrupper baseret på en eksisterende kundeliste. Det betyder, at en virksomhed kan uploade en database med e -mail -adresser til Facebook, og platformen finder alle tilsvarende brugere på webstedet og viser disse brugere en annonce.

Mange Facebook -brugere vælger ikke at offentliggøre deres e -mail -adresser eller telefonnumre. Og Facebook -annoncesystemet er ikke designet til at lade annoncører lære brugernes identitet baseret på private oplysninger. Men Mislove fandt ud af, at ved at oprette flere tilpassede målgrupper, han kunne krydshenvisning og matche brugere til deres private oplysninger.

Mislove og hans kolleger gjorde Facebook opmærksom på fejlen. Det blev rettet, og forskerne modtog $ 5, 000 gennem bug bounty -programmet. Men annoncefunktionen er ikke unik for Facebook, Mislove forklarede. LinkedIn, Twitter, og andre platforme har lignende brugerdefinerede målgruppemuligheder. "Vores bekymring er, at disse utilsigtet kan lække oplysninger, "Mislove sagde." Vi ønskede at gøre opmærksom på kompleksiteten af ​​disse systemer og måderne, hvorpå de kan misbruges. "

En anden nordøstlig gruppe, ledet af doktorand Michael Weissbacher, også præsenteret forskning på PrivacyCon. Weissbacher viste, at snesevis af populære browserudvidelser lækkede brugernes webhistorik.

Weissbacher og hans team skabte et værktøj kaldet Ex-Ray til at registrere datalækager baseret på netværkstrafik. De fandt ud af, at jo større brugerens browserhistorik er, jo flere data blev lækket. Ex-Ray identificerede 32 browserudvidelser-brugt af i alt 8 millioner mennesker-der aktivt lækkede webhistorikdata. Disse omfattede populære udvidelser som AdBlocker til Google Chrome, og tal det, en tekst-til-tale-udvidelse.

Weissbacher sagde, at Google fjernede mange - men ikke alle - udvidelserne fra sin webbutik efter at have lært, at de læste browserhistorik. Han tilføjede, at skaberne af disse udvidelser muligvis ikke var klar over, at de lækker. Imidlertid, webbutikken bør påtage sig ansvaret for at scanne udvidelserne for at sikre, at de er sikre, Sagde Weissbacher. Indtil da, han anbefaler brugere at slette udvidelser, de ikke regelmæssigt bruger for at reducere risikoen for krænkelser af privatlivets fred.

"Uanset om lækagerne sker ondsindet eller utilsigtet, det afslører stadig brugeren, "Sagde Weissbacher.

Fortrolighed er også en bekymring på mobile platforme. Jingjing Ren, en doktorand i datalogi, præsenteret forskning på PrivacyCon, der viser, at nogle Android -applikationer er blevet mindre sikre med tiden. Hendes team opdagede 13 apps, der lækkede brugernes personlige oplysninger i mindst en version af appen.

"Et bemærkelsesværdigt eksempel er Pinterest, "Sagde Ren, henviser til en populær app til upload og gemning af forskellige indhold. Pinterests mobilapp har omkring 140 millioner aktive brugere. "I to versioner undersøgte vi, appen sendte ved et uheld brugernes legitimationsoplysninger til en ikke -oplyst tredjepart, der syntes at levere brugergrænsefladetjenester til Pinterest. "

Ren sagde, at udviklerne på Pinterest fikset problemet inden for en måned efter, at hendes team fandt og afslørede det. Imidlertid, fire andre apps - Meet24, FastMeet, Waplog, Periode- og ægløsningssporing - har endnu ikke taget hånd om deres lækager i fortrolighed.

"I slutningen af ​​dagen, mobil privatliv er stadig en løbende samtale blandt forbrugere, app -udviklere, app -distributionsplatforme, tredje partier, politiske beslutningstagere, og andre interessenter, "Sagde Ren.