恶意 SDK 泄露用户 Facebook 、 Twitter 账户资料

Facebook 和 Twitter 昨日同时公布有数以百计账户，有机会因为用户在第三方手机软件上登入该服务而被软件开发者不当取得个人资料。这些手机软件都使用了由 One Audience 或 Mobiburn 提供的恶意软件开发工具（ SDK ）。

Twitter 发表声明，指收到保安研究人员的报告发现由 One Audience 提供的恶意 SDK ，可以让第三方开发者取得 Twitter 用户的个人资料。 Twitter 保安小组发现这些 SDK 可以利用流动生态系统的漏洞，只要用户在嵌入了那些 SDK 的软件如《 Giant Square 》和《 Photofy 》上，以 Twitter 账户来登入的话，就会让开发者取得用户的电邮、用户名称和最近帖文。

Twitter 指虽然有人可以利用取得的个人资料来控制受害者账户，但现时未有证据证明有账户被骑劫。

Twitter 指他们有证据显示有部分使用 Android 系统的账户资料被这些 SDK 存取，但就未有证据证明这些恶意 SDK 的 iOS 版本以 iOS 版 Twitter 用户为目标。而 Twitter 就已经将事件通知了 Google 和 Apple 。

另一方面， Facebook 就发表声明，指发现 One Audience 和 Mobiburn 付钱给开发者在多款软件中使用他们的恶意 SDK 。 Facebook 基于违反平台政策已经移除该些软件，并呼吁用户谨慎选择给予哪些软件存取他们社交网络账户的存取权限。

两间公司都表示将会通知受影响用户。

Twitter 发表声明指有人发布恶意 SDK 给开发人嵌入第三方软件，以取得用户个人资料。