Studie: 16 Facebook-Apps geben unerlaubt Daten an Dritte weiter

Forscher der University of Iowa habe eine Methode entwickelt, mit der sich Entwickler von Facebook-Apps überführen lassen, die heimlich Nutzerdaten an Dritte weitergeben. Die CanaryTrap genannte Technik beschreiben die Forscher in einem Whitepaper mit dem Titel „Erkennung von Datenmissbrauch durch Drittanbieter-Apps auf Sozialen Netzwerken“.

Das Verfahren bedient sich sogenannter Honeytokens. Dabei handelt es sich um falsche Daten beziehungsweise Tokens, die in einem Netzwerk platziert werden. Alle Zugriffe auf diese Daten werden erfasst, um auch unerwünschte oder schädliche Aktivitäten zu erkennen. Im Fall von CanaryTrap kamen eindeutige E-Mail-Adressen zum Einsatz, mit den die Forscher falsche Facebook-Konten registrierten.

Um das Verhalten einer App zu studieren, installierten Forscher die Anwendung, nutzten sie für 15 Minuten und entfernten sie anschließend wieder aus dem Facebook-Konto. Danach warteten sie auf neue E-Mail-Nachrichten im Postfach, die sie als Bestätigung für eine Weitergabe der Nutzerdaten an Dritte interpretierten.

Darüber hinaus bedienten sich die Forscher auch Facebooks Transparenz-Tool „Warum sehe ich das?“. Daraus leiteten sie wiederum ab, ob ein Werbetreibender die Honeytoken-E-Mail-Adresse benutzte, um über Facebook zielgerichtete Anzeigen an den Nutzer auszuliefern.

Für ihre Untersuchung testeten die Forscher insgesamt 1024 Facebook-Apps. 16 Anwendungen gaben die E-Mail-Adressen an Dritte weiter. Die wiederum verschickten unerwünschte E-Mails an diese Adressen. Von den 16 Apps verschwiegen sieben eine Verbindung zum Absender der Nachrichten. Aber selbst bei den Apps, die auf Vereinbarungen mit den Absendern verwiesen, hatten die Nachrichten oft keinerlei Bezug zu der fraglichen App.

Bei den sieben Apps, die Daten ohne Wissen der Nutzer weitergaben, konnten die Forscher zudem nicht feststellen, ob es sich um einen absichtlichen Verstoß gegen Facebooks Regeln beziehungsweise Datenschutzbestimmungen handelt, oder ob Sicherheitslücken für den Verlust von Daten verantwortlich waren. In drei Fällen erhielten die Adressen zudem Nachrichten mit gefährlichen oder betrügerischen Inhalten.

Die Forschungsergebnisse sowie die zugehörigen Tools veröffentlichten die Wissenschaftler zudem auf GitHub. Dort stehen sie nun anderen Forschern unter einer Open-Source-Lizenz zur Verfügung.

Facebook war nach Rückfrage von ZDNet USA nicht zu einer Stellungnahme bereit. Ein Sprecher erklärte lediglich, die Daten der Forscher würden noch analysiert. Das Problem an sich ist dem Unternehmen jedoch bekannt. Schon mehrfach ging Facebook deswegen gegen App-Entwickler vor.

ANZEIGE

Kollaborationsplattform Slack: Effizient arbeiten – egal von wo

Vor COVID-19 war Remote-Work für viele Unternehmen fast undenkbar. Heute haben sie erkannt, dass es sehr gut funktionieren kann, wenn die Rahmenbedingungen stimmen. Erfahren Sie in diesem Webinar, wie Sie mit der Kollaborationslösung Slack auf die veränderten Arbeitsbedingungen optimal reagieren können.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Nach dem Angriff ist vor dem Angriff

Wie sich die Ransomware-Szene derzeit entwickelt und was der Plan B der Hacker ist, schildert…

1 Tag ago

Mobile Apps für SAP-Freigaben

Einen umfassenden Ansatz für digitale Freigabeverfahren SAP-bezogener Vorgänge hat die Münchner munich enterprise software entwickelt.

1 Tag ago

Hacker nehmen Electronic Arts ins Visier

Hacker verkaufen nach einem Angriff auf Electronic Arts (EA) den Zugriff auf FIFA-Matchmaking-Server und andere…

1 Tag ago

Intelligent Bedrohungen im Unternehmensnetzwerk bekämpfen

Im Frühjahr sorgte die Attacke auf den Microsoft Exchange Server für Schlagzeilen und löste nach…

2 Tagen ago

Huawei enthüllt Cybersicherheit Framework

Der chinesische Tech-Gigant Huawei hat mit der Eröffnung seines neuesten Transparenzzentrums in Dongguan und eines…

3 Tagen ago

Linux Foundation bereitet globales COVID-Zertifikatsnetzwerk vor

Die Linux Foundation Public Health möchte die Infrastruktur für den ersten internationalen COVID-19-Pass bereitstellen. Die…

3 Tagen ago