Ученые из Университета Айовы представили метод, который позволяет определить, когда разработчики приложений для Facebook тайно обмениваются пользовательскими данными с третьими сторонами. В основе этого способа, получившего название CanaryTrap, находится концепция так называемых ханитокенов (honeytoken).

Ханитокены представляют из себя поддельные данные, токены или файлы, внедряемые IT-специалистами в свои сети. Когда к данным обращаются или их используют, администраторы имеют возможность зафиксировать эту деятельность.

В контексте CanaryTrap ханитокены были уникальными адресами электронной почты, которые специалисты использовали с целью регистрации учетных записей Facebook. В рамках исследования эксперты после регистрации учетной записи устанавливали приложение для Facebook, пользовались им в течение 15 минут, а после - удаляли из аккаунта. Далее ученые отслеживали входящие электронные письма в поисках трафика. Если в папку «Входящие» поступали новые сообщения, то становилось понятно, что приложение делится данными пользователя с третьей стороной.

Помимо этого, группа специалистов использовала инструмент прозрачности рекламы Facebook «Почему я это вижу?». Это делалось для того, чтобы выяснить, использовал ли рекламодатель какую-нибудь электронную почту, созданную с помощью ханитокена, для таргетинга рекламы в социальной сети.

Ученые провели тестирование 1024 приложений для Facebook с помощью CanaryToken и выявили 16 программ, отправлявших адреса электронной почты третьим сторонам. Из 16 приложений лишь у девяти были какие-либо деловые или партнерские отношения с отправителем электронных писем.

Семь других приложений никак не указывали, что они делятся пользовательской информацией с посторонними. Специалистам не удалось узнать, предоставили ли разработчики приложений персональные данные пользователей третьим сторонам умышленно, или же происходила утечка данных в online-режиме в результате нарушений требований безопасности либо действий хакеров.

Группа исследователей также провела дополнительный анализ в отношении 1024 приложений и пришла к следующим выводам: в 61 приложении для Facebook не содержится ссылок на их политику конфиденциальности; 42 приложения для Facebook не отвечают на запросы на удаление данных; 13 приложений для Facebook отправляют электронные письма даже после подтверждения удаления данных.