一個研究小組在本周描述了一種方法，該方法可以幫助確定Facebook應用程序開發人員何時秘密與第三方共享用戶數據。

愛荷華大學的學者在周一發表的白皮書中詳細介紹了這種名為CanaryTrap的技術，該白皮書名為“ CanaryTrap：通過在線社交網絡上的第三方應用程序檢測數據濫用”。

從本質上講，CanaryTrap圍繞著honeytoken的概念。

從廣義上講，honeytoken代表IT專家在其網絡中植入的虛假數據，令牌或文件。當訪問或使用數據時，管理員可以檢測到惡意活動。

在CanaryTrap白皮書的背景下，honeytokens是學者用來注冊Facebook帳戶的唯一電子郵件地址。

對于CanaryTrap研究，注冊帳戶后，研究人員安裝了一個Facebook應用程序，使用了15分鐘，然后從該帳戶中卸載了該應用程序。

研究人員隨后監視了honeytoken電子郵件收件箱中的新流量。如果收件箱收到新電子郵件，則很明顯該應用程序與第三方共享了用戶的數據。

此外，研究小組還表示，它使用了Facebook的廣告透明度工具“我為什么看到這個？”監視廣告客戶是否使用任何蜜令牌電子郵件來通過Facebook廣告定位用戶。

該學術團隊表示，他們使用CanaryToken技術測試了1,024個Facebook應用，并確定了16個與第三方共享電子郵件地址并導致用戶接收來自未知發件人的電子郵件的應用。

在這16個應用程序中，只有九個應用程序披露它們與電子郵件發件人有關系。這種關系通常與不相關的聯屬網站或業務合作伙伴建立關系，但是即使應用程序顯示了數據共享協議，收件箱通常也會收到與該應用程序無關的電子郵件。

但是，有七個應用程序沒有披露它們與外部人員共享用戶數據。在這七個案例中，研究小組表示，他們無法確定應用程序開發人員是否在沒有用戶授權的情況下有意與第三方共享了用戶數據，或者用戶數據是否由于安全事件而在線泄漏，例如安全漏洞、暴露的服務器或黑客入侵。

盡管如此，研究人員說，結果還是發生了一些不良的電子郵件流量，這表明在三個應用共享的蜜令牌的情況下，電子郵件收件箱收到了帶有性侵犯威脅，垃圾郵件和其他電子郵件騙局的電子郵件。

研究人員說，他們僅發現16種應用程序參與了這種行為（下面列出），這是因為他們僅使用了1,024個應用程序的一小部分。如果要測試更多應用程序，研究人員希望找到更多與第三方共享用戶數據的應用程序。

學術人員在GitHub上開源了CanaryTrap研究和相關工具。他們說，他們共享CanaryTrap，以“幫助獨立的看門狗檢測濫用與第三方應用程序共享的數據，而無需在線社交網絡的合作。”

此外，研究小組還針對1,024個應用進行了進一步的研究，結果如下：

61個不包含其隱私政策鏈接的Facebook應用
42個不響應我們的數據刪除請求的Facebook應用
13個Facebook應用程序，在確認數據刪除后仍繼續發送電子郵件

Facebook發言人承認了我們的置評請求，但表示該公司仍在分析CanaryTrap論文。

但是，社交網絡非常了解其“流氓應用程序開發人員”問題，并且近年來已采取步驟從其開發人員群中剔除壞蘋果。

在過去的一年中，Facebook起訴了幾名開發人員，并修改了服務條款和開發人員策略，以賦予自己更大的權力來執行嚴格的用戶數據控制。

Facebook打擊應用程序開發人員濫用行為的最新變化發生在周三，當時Facebook宣布了其平臺條款和開發人員政策的最新更新，該更新將于2020年8月31日生效。

該公司表示，新條款限制了開發人員可以在未經用戶明確同意的情況下與第三方共享信息，并確保開發人員清楚地了解，如果他們利用Facebook的平臺和用戶群來建立自己的業務，他們有責任保護用戶數據。

從理論上講，這些新更改解決了CanaryTrap團隊報告的漏洞。