Studie: 16 Facebook-Apps geben unerlaubt Daten an Dritte weiter

Forscher der University of Iowa habe eine Methode entwickelt, mit der sich Entwickler von Facebook-Apps überführen lassen, die heimlich Nutzerdaten an Dritte weitergeben. Die CanaryTrap genannte Technik beschreiben die Forscher in einem Whitepaper mit dem Titel „Erkennung von Datenmissbrauch durch Drittanbieter-Apps auf Sozialen Netzwerken“.

Das Verfahren bedient sich sogenannter Honeytokens. Dabei handelt es sich um falsche Daten beziehungsweise Tokens, die in einem Netzwerk platziert werden. Alle Zugriffe auf diese Daten werden erfasst, um auch unerwünschte oder schädliche Aktivitäten zu erkennen. Im Fall von CanaryTrap kamen eindeutige E-Mail-Adressen zum Einsatz, mit den die Forscher falsche Facebook-Konten registrierten.

Um das Verhalten einer App zu studieren, installierten Forscher die Anwendung, nutzten sie für 15 Minuten und entfernten sie anschließend wieder aus dem Facebook-Konto. Danach warteten sie auf neue E-Mail-Nachrichten im Postfach, die sie als Bestätigung für eine Weitergabe der Nutzerdaten an Dritte interpretierten.

Darüber hinaus bedienten sich die Forscher auch Facebooks Transparenz-Tool „Warum sehe ich das?“. Daraus leiteten sie wiederum ab, ob ein Werbetreibender die Honeytoken-E-Mail-Adresse benutzte, um über Facebook zielgerichtete Anzeigen an den Nutzer auszuliefern.

Für ihre Untersuchung testeten die Forscher insgesamt 1024 Facebook-Apps. 16 Anwendungen gaben die E-Mail-Adressen an Dritte weiter. Die wiederum verschickten unerwünschte E-Mails an diese Adressen. Von den 16 Apps verschwiegen sieben eine Verbindung zum Absender der Nachrichten. Aber selbst bei den Apps, die auf Vereinbarungen mit den Absendern verwiesen, hatten die Nachrichten oft keinerlei Bezug zu der fraglichen App.

Bei den sieben Apps, die Daten ohne Wissen der Nutzer weitergaben, konnten die Forscher zudem nicht feststellen, ob es sich um einen absichtlichen Verstoß gegen Facebooks Regeln beziehungsweise Datenschutzbestimmungen handelt, oder ob Sicherheitslücken für den Verlust von Daten verantwortlich waren. In drei Fällen erhielten die Adressen zudem Nachrichten mit gefährlichen oder betrügerischen Inhalten.

Die Forschungsergebnisse sowie die zugehörigen Tools veröffentlichten die Wissenschaftler zudem auf GitHub. Dort stehen sie nun anderen Forschern unter einer Open-Source-Lizenz zur Verfügung.

Facebook war nach Rückfrage von ZDNet USA nicht zu einer Stellungnahme bereit. Ein Sprecher erklärte lediglich, die Daten der Forscher würden noch analysiert. Das Problem an sich ist dem Unternehmen jedoch bekannt. Schon mehrfach ging Facebook deswegen gegen App-Entwickler vor.

ANZEIGE

Kollaborationsplattform Slack: Effizient arbeiten – egal von wo

Vor COVID-19 war Remote-Work für viele Unternehmen fast undenkbar. Heute haben sie erkannt, dass es sehr gut funktionieren kann, wenn die Rahmenbedingungen stimmen. Erfahren Sie in diesem Webinar, wie Sie mit der Kollaborationslösung Slack auf die veränderten Arbeitsbedingungen optimal reagieren können.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Ungepatchte Lücke in der Windows-Druckwarteschlange verschafft Malware Admin-Rechte

Forscher umgehen einen von Microsoft im Mai bereitgestellten Patch. Die neue Lücke soll das Einschleusen…

2 Tagen ago

Bericht: Microsoft strebt Übernahme des weltweiten Geschäfts von TikTok an

Dazu gehören auch die Märkte in Europa und Indien. US-Präsident Trump verstärkt indes den Druck…

2 Tagen ago

Durchgesickerte interne Dokumente: Intel prüft Einbruch in seine Systeme

Ein Hacker stiehlt angeblich 20 GByte Daten von Intel. Es handelt sich zum Teil um…

2 Tagen ago

Cisco warnt vor Sicherheitslücken in Routern, Switches und AnyConnect VPN

Sie erlauben Denial-of-Service-Angriffe und den Diebstahl vertraulicher Informationen. Der AnyConnect-Client für Windows gibt Hackern Zugriff…

3 Tagen ago

295 Chrome-Erweiterungen kapern Suchanzeigen von Google und Bing

AdGuard entdeckt sie bei der Suche nach gefälschten Adblockern. Die Erweiterungen bringen es zusammen auf…

3 Tagen ago

Samsung verlängert Android-Upgrades auf drei Jahre

Die Änderung gilt auch für ältere Smartphones wie das Galaxy S10. Es erfährt 2021 nun…

3 Tagen ago