Les entreprises pointent du doigt deux SDK (Software Development Kit), oneAudience et Mobiburn. Leurs éditeurs auraient payé des développeurs pour qu’ils les utilisent.
Les applications se retrouvaient ainsi « malveillantes » sans que les développeurs le sachent forcément. Ce point reste flou. Obtenir l’accès aux comptes Facebook et Twitter depuis des applications permettait alors de récupérer certaines données.
Dans le cas de Facebook, il s’agissait des nom, adresse email, pays de résidence, genre et quelques autres informations du même acabit. Chez Twitter, les applications pouvaient récupérer les nom, genre, email, nom d’utilisateur et potentiellement le dernier tweet publié.
Selon Twitter, les services ne sont pas directement fautifs. L’éditeur évoque « un manque d’isolation entre les SDK dans les applications » et l’exploitation « d’une vulnérabilité dans l’écosystème mobile ». Un descriptif trop flou pour savoir plus précisément où se situe le problème.
Apple et Google ont été averties, mais il semble que seule la seconde soit réellement concernée par un ménage à faire dans sa boutique. Facebook a déclaré à Engadget qu’environ 9,5 millions de personnes étaient concernées et allaient être averties. Twitter n’a pas fourni de chiffre, mais compte également prévenir les concernés.
oneAudience a publié hier, en réaction, un communiqué annonçant le retrait immédiat de son SDK. « Ces données n’ont jamais été prévues pour être collectées, jamais ajoutées dans notre base de données, ni jamais utilisées ». Une mise à jour aurait déjà été déployée pour bloquer ces mouvements. Même chose chez Mobiburn.
Les deux éditeurs ont également annoncé qu’une enquête serait menée. En attendant, Facebook affirme que son écosystème a été purgé de toutes les applications qui embarquaient l’un ou l’autre SDK.
Commentaires (0)