Ártatlannak tűnő, a hivatalos alkalmazásboltokban elérhető, több száz androidos és iOS-es alkalmazásról derült ki, hogy ellopják a felhasználók Facebook-jelszavait, -felhasználóneveit. A szóban forgó alkalmazások érdekesnek, letöltésre csábítónak tűntek.

Voltak köztük fotószerkesztők, amelyek állításuk szerint lehetővé teszik, hogy „rajzfilmmé változtasd magad”, VPN-ek, amelyek azt állítják, hogy növelik a böngészési sebességet, vagy hozzáférést biztosítanak blokkolt tartalmakhoz vagy webhelyekhez, telefonos segédprogramok, például zseblámpa-alkalmazások, amelyek azt állítják, hogy világosabbá teszik a telefon zseblámpáját. Találtak hamisan jó minőségű 3D grafikát ígérő mobiljátékokat, egészségügyi és életmódbeli alkalmazásokat, például horoszkópokat és fitneszkövetőket, üzleti vagy hirdetéskezelő alkalmazásokat, amelyek azt állítják, hogy rejtett vagy jogosulatlan funkciókat kínálnak, amelyek nem találhatók meg a műszaki platformok hivatalos alkalmazásaiban – olvasható a Meta blogbejegyzésében.

Az alkalmazások arra kérik a felhasználót, hogy jelentkezzen be a Facebookkal, hogy használhassa az ígért funkciókat. Ha beírják a hitelesítő adatokat, az alkalmazás ellopja a felhasználónevet és a jelszót. Sok alkalmazás ezután használhatatlanná is vált, hiszen elérte a célját.

[Itt nézheti meg, ki lépett be a Facebook-fiókjába – és zárhatja ki]

Az ellopott bejelentkezési adatokkal a támadók hozzáférhetnek egy személy fiókjához, elérhetik annak személyes adatait, vagy például rosszindulatú adathalász üzeneteket küldhetnek az áldozat kapcsolatainak. Ha pedig a felhasználó más alkalmazásokba és szolgáltatásokba is bejelentkezik Facebook-fiókjával, a támadók ezekhez is, és esetleg további érzékeny adatokhoz is hozzáférhetnek.

A Meta nem tudja biztosan, hányan töltötték le a szóban forgó alkalmazásokat (amelyek listáját megtalálja a már említett Meta-blogban), de mivel biztosra akart menni, inkább egymillió felhasználót intettek óvatosságra. Az értesítéseknek két célja van. Az egyik az, hogy tájékoztassák a felhasználókat, hogy esetleg rosszindulatú alkalmazást töltöttek le, és közöljék velük, milyen lépéseket kell tenniük fiókjuk biztonsága érdekében, ha megadták bejelentkezési adataikat. A második pedig, hogy figyelmeztesse azokat, akik ugyan letöltötték az alkalmazásokat, de még nem adták meg fiókadataikat, hogy ezt ne is tegyék meg.

A Meta természetesen a Google-t és az Apple-t is értesítette, így a veszélyes alkalmazások már nem találhatók meg a hivatalos app-áruházakban, azonban harmadik fél áruházaiban még elérhetők lehetnek.

A Meta tanácsokkal is szolgál az ilyen esetek elkerülésére. Mindenekelőtt azt javasolják, hogy a felhasználók használjanak többlépcsős hitelesítést Facebook-fiókjukon, illetve kapcsolják be a bejelentkezési figyelmeztetéseket, hogy értesítést kapjanak arról, ha valaki megpróbál hozzáférni a fiókjukhoz. Ami pedig az appletöltést illeti: mielőtt bármit is letöltenének, olvassák el a hozzászólásokat, amelyekből sok minden kiderülhet. Elsősorban a negatív véleményeket figyeljék, a számítógépes bűnözők olykor ugyanis hamis pozitív véleményekkel árasztják el az alkalmazásboltot. Ha pedig azt gyanítják, hogy olyan rosszindulatú alkalmazást töltöttek le, amely megadta a számítógépes bűnözőknek a bejelentkezési adatokat, akkor hozzanak létre egy új, erős jelszót a Facebookhoz, olyat, amelyet nem használnak több webhelyen.

Ha máskor is tudni szeretne hasonló dolgokról, lájkolja a HVG Tech rovatának Facebook-oldalát.