SDK de propriedade do Twitter vaza dados de localização de milhões de usuários

Os pesquisadores encontraram vários aplicativos usando uma versão desatualizada de um SDK feito pelo MoPub do Twitter.

Uma série de aplicativos populares que usam um código desatualizado de propriedade do Twitter estão expondo os dados de localização de seus usuários. No total, os aplicativos foram baixados quase 10 milhões de vezes.

A notícia destaca o papel contínuo dos kits de desenvolvimento de software (SDKs), pequenos pacotes de código que os desenvolvedores costumam adicionar a seus aplicativos para gerar receita, e também como os dados de localização granulares podem ser expostos por meio de um software de telefone implementado de maneira desleixada.

“Ficamos preocupados que essas transferências [de dados de localização] pudessem ser descriptografadas”, disse Quentin Palfrey, presidente do International Digital Accountability Council (IDAC), o grupo que identificou o problema em vários aplicativos, ao Motherboard por telefone.

Você sabe mais alguma coisa sobre SDKs que coletam dados de localização? Adoraríamos ouvir de você. Usando um telefone ou computador que não seja do trabalho, você pode entrar em contato com Joseph Cox com segurança no Signal em +44 20 8133 5190, Wickr em josephcox, bate-papo OTR em  jfcox@jabber.ccc.de ou e-mail  joseph.cox@vice.com .

O IDAC é uma organização sem fins lucrativos voltada para a descoberta de condutas impróprias no ecossistema digital, de acordo com seu site . A organização inclui advogados, tecnólogos e especialistas em privacidade e já encontrou problemas em aplicativos de fertilidade e outros SDKs .

A própria questão técnica nesta nova pesquisa gira em torno do MoPub, um SDK que permite aos desenvolvedores monetizar seus aplicativos exibindo anúncios. O MoPub coleta informações de localização para tentar entregar anúncios mais relevantes. O Twitter é dono do MoPub.

Em 2018, pesquisadores da empresa de segurança cibernética Kaspersky descobriram que vários SDKs transmitiam dados sem criptografia, incluindo MoPub. A pesquisa do IDAC descobriu que vários aplicativos que incluem o MoPub SDK estão enviando dados de localização confidenciais sem proteção digital.

Os aplicativos incluem um jogo chamado Beach Cricket com mais de 5 milhões de instalações; dois aplicativos de catálogo telefônico das Páginas Amarelas com uma base de usuários combinada de mais de 2 milhões; um aplicativo de rastreamento de crescimento de bebês com 1 milhão de usuários e alguns outros aplicativos com entre 5.000 e 500.000 instalações.

Existe uma versão atualizada do MoPub SDK que aborda o problema, mas esses aplicativos não incluem essa versão corrigida. Nenhum dos desenvolvedores de aplicativos que incluem a versão sem patch do MoPub SDK em seus aplicativos respondeu a um pedido de comentário.

“O IDAC descobriu que o MoPub continua a oferecer suporte a versões mais antigas do protocolo – confirmando que o Twitter continua a oferecer suporte a um mecanismo não seguro de envio de informações precisas de localização GPS para potencialmente milhões de instalações de aplicativos atuais”, diz um comunicado de imprensa do IDAC. O Twitter disse ao Motherboard que descontinuou todas as versões do MoPub SDK anteriores a 5.3.

“Certamente, desligar o endpoint de recebimento sem criptografia faria uma diferença”, disse Bobby Richter, tecnólogo parceiro do IDAC.

Mas o Twitter disse ao Motherboard que os próprios desenvolvedores de aplicativos podem modificar o SDK e enviar dados não criptografados se assim desejarem. E como o próprio SDK é de código aberto, o Twitter e o MoPub não têm os meios técnicos para impedir que os desenvolvedores optem por enviar dados desprotegidos.

Fonte: https://www.vice.com/en/article/k7ae9a/twitter-mopub-sdk-location-data