Ricercatori mostrano come le API di Facebook siano usate da migliaia di “app” malevole
La compagnia americana di cybersicurezza Trustlook ha identificato 25936 applicazioni considerate “malevole” che utilizzano, abusandone, le API di Facebook, potendo quindi disporre di un accesso ai dati personali degli utenti coinvolti – nome, posizione ed indirizzo email.
La classificazione come app nocive è data da un’analisi del loro comportamento e da centinaia di dati analitici sui flussi dati e sull’interazione con il sistema dell’utente e con il backend del provider di servizi (in questo caso appunto le API di Facebook). In una scala da 0 a 10 (dove il massimo indica di fatto un’applicazione considerabile malware tout-court), la soglia di 7.0 indica quelle che hanno mostrato più aspetti negativi (acquisizione di dati oltre quelli considerabili normali per il loro funzionamento, la registrazione di audio o video non notificata all’utente, il generare
Non si tratta al momento di una raccolta dati con la stessa gravità ed estensione dello scandalo Cambridge Analytica, ma certamente è preoccupante vedere come tali dati siano a disposizione di “servizi” di terze parti sicuramente poco corretti e rispettosi della privacy degli utenti.
Giova anche ricordare come fino al 2015 le API di Facebook consentivano, in caso di consenso tramite la funzione “Login with Facebook”, di accedere a un set limitato di dati (appunto nome, locazione ed email) oltre che dell’utente che utilizzava il login, anche a quelli della propria lista amici. Questo metodo – alla base anche dell’utilizzo fraudolento messo in atto da Cambridge Analytica – si è rilevato alla lunga veramente deleterio e ha causato non pochi grattacapi a Facebook stessa, che è intervenuta nel corso del tempo ponendo limitazioni sempre più stringenti per evitare questi “leak” più o meno volontari di dati ai danni di ignari utenti del proprio network, resta da vedere poi nel dettaglio quanto queste “pezze” riescano a garantire un minimo di privacy (almeno sulla carta) ai propri utenti.
Sempre Trustlook inoltre ha posto l’accento sul fatto che non sono solo le API di Facebook a prestare il fianco a questo tipo di pericoli e di abusi più o meno voluti “by design”: anche Twitter, LinkedIn, Google e Yahoo forniscono strutture d’accesso similari e quindi ci si augura anche da parte di queste compagnie una vigilanza diligente su quali dati e quali informazioni personali siano poste a disposizione delle applicazioni che utilizzano le loro API.
Fonte: TechTarget