研究人员发现某些第三方脸书应用滥用了电子邮件地址

发布时间：2020-07-02 15:23:40 【来源：】

爱荷华大学研究人员的一项研究表明，一些第三方Facebook应用程序可能滥用用户数据进行勒索软件，垃圾邮件和针对性广告。他们的工作(尚未经过同行评审)使用了名为CanaryTrap的工具和Facebook的广告透明度工具一起来检测用户的个人数据未被识别的使用。

Facebook托管着无数第三方应用程序，这些应用程序可以访问数十亿个包含电子邮件地址，出生日期，性别等信息的帐户。更糟糕的是，很难检测到这些应用程序滥用的数据，因为它们将数据存储在Facebook本身权限范围之外的服务器上。

该研究的合著者开发了CanaryTrap来阐明这一点，该工具使用包含监视电子邮件帐户的“蜜币”来检测未经授权的数据使用。首先，CanaryTrap与第三方应用程序共享蜜令牌，然后研究人员确定共享蜜令牌的广告商。Facebook上的广告商可以使用电子邮件地址将广告定位到自定义受众，这是共同作者通过检查广告商是否可以被识别为目标应用程序而利用的功能。如果不能，研究人员的假设是地址被滥用了。

由于Facebook的反滥用系统阻碍了批量帐户注册，并限制了频繁轮换与帐户相关联的地址的能力，因此扩展CanaryTrap需要设计两个框架：数组框架和矩阵框架。阵列框架旋转地址，同时保持共享honeytoken和应用程序之间的一对一映射，而矩阵框架将应用程序归因于数据滥用，同时将honeytoken共享给多个应用程序。

在一年多的时间里，合著者将CanaryTrap应用于1,024个第三方Facebook应用程序。由于Facebook没有提供第三方应用程序的索引，因此他们获得了由其他研究人员编译的25,800个请求电子邮件地址的应用程序的数据库，他们随机选择了1,024个。

然后，研究团队建立了电子邮件服务器，并使用了一个流行名称列表来创建遵循“ firstname-lastname@example.com”模板(例如john-doe@example.com)的帐户。接下来，他们总共注册了三个Facebook帐户，并设置了隐私设置，以使该帐户的信息(包括电子邮件地址)对除已安装的应用程序之外的所有人保持私有。

共同作者说，在1,024个应用中，有16个第三方应用与无法识别的发件人共享地址。在这些应用程序中，有九个应用程序与发件人具有公开的关系，这些发件人通常是外部服务(例如，用户身份验证服务)，合作伙伴或联属网站或购买Facebook应用程序的公司。其余七个之间的关系未知，这意味着发件人可能通过应用程序服务器上的漏洞或泄漏或通过秘密数据共享交易来访问用户数据。

1,024个应用中有16个应用听起来可能并不多。但是推断出通过Facebook提供的成千上万的第三方应用程序，这意味着可能有成千上万的应用程序滥用了电子邮件和其他个人数据。

研究人员报告说，其中三个应用程序负责处理76封恶意电子邮件，其中包括勒索软件诈骗和伟哥垃圾邮件。其中有9个应用程序可以链接到79封“不相关”的电子邮件，包括促销信息，产品列表链接和新闻通讯，这可能违反了Facebook的《服务条款》，这要求应用程序明确告知用户其他方的数据使用情况。还有两个应用程序-Safexbikes Motorcycle Superstore和Printi BR API-显示了传闻证据，表明其宿主站点已被破坏。

共同作者写道：“迄今为止，我们尚未从这些应用程序的宿主网站中收到任何有关数据泄露的信息，”他指出，在他们分析的1,024个应用程序中，有六个缺乏任何隐私政策。

在部署CanaryTrap之后，研究人员使用了Facebook的广告透明度工具来识别47个独特的广告商，这些广告商上传了honeytoken电子邮件地址以进行广告定位。九个未被识别，表明没有一个应用程序披露与发件人的关系。

为了彻底检查，研究人员试图与发送电子邮件的应用程序发布者联系，以与100个应用程序发布者联系。在成功通过电子邮件发送了87(由于网站和传递错误而无法联系到13)之后，他们收到了来自45个发布者(52%)的回复。其中只有29人承认他们已删除数据或取消了帐户。更令人担忧的是，在提交共同作者的数据删除请求后，在87个中有49个继续发送至少一封电子邮件。

“对于普通用户来说，请求删除数据的过程很难进行。共同作者写道：“ Facebook目前在数据删除过程中并未发挥任何积极作用。”“ Facebook完全依赖第三方应用程序开发人员来满足用户的数据删除请求……许多应用程序使用不符合Facebook服务条款的cookie切割器策略。值得注意的是，即使应用提供了合规的隐私政策，Facebook也没有健全的机制来检查应用是否确实合规。”

根据他们的发现，研究人员认为Facebook应该要求开发人员在其应用程序中实施数据删除请求回调，这将是一种用户友好的请求删除机制，可以帮助网络审核合规性。他们说：“在线社交网络上可以访问用户个人信息的第三方应用程序构成了严重的隐私威胁。”

Facebook在防止应用程序不正确地访问用户数据方面拥有不良记录。2018年，《卫报》透露，数据分析公司Cambridge Analytica通过付费个性测验不当获取了多达8700万Facebook用户的信息。Facebook的悬浮剑桥的analytica和SCL集团，其母公司，从平台在2018年三月中旬，前者使用的数据为广告定位创建美国选民的“心理轮廓”之后。

2018年6月，Facebook宣布存在一个漏洞，导致大约1400万Facebook用户的所有新帖子的默认共享设置都设置为“公开”。在2019年4月，发现有五十亿名Facebook用户记录暴露在亚马逊云服务器上，其中包含有关用户的朋友，喜欢，群组和签到位置的信息，以及名称，密码和电子邮件地址。

为了回应Cambridge Analytica丑闻及其他丑闻，去年7月，美国联邦贸易委员会(FTC)对Facebook施加了全新的隐私限制，其中包括暂停未证明符合公司平台政策的第三方应用程序的命令。

上一篇：百战天虫大混战回合战斗实时行动
下一篇：建立品牌强大的数字存在为何如此重要