你的 Facebook 密码泄露了吗？

研究人员表示这些应用程序使用一种偷偷摸摸的方式窃取用户的 Facebook 登录凭据后，谷歌已经下架了从公司的Play 市场下载超过 580 万次的九个 Android 应用程序 。

根据安全公司 Dr. Dr. 发布的一篇文章，为了赢得用户的信任并降低他们的警惕，这些应用程序提供了功能齐全的照片和取景、锻炼和训练、星座运势以及从 Android 设备中删除垃圾文件的服务。目前所有已识别的应用程序都为用户提供了一个选项，可以通过登录其 Facebook 帐户来禁用应用程序内广告。选择该选项的用户会看到一个真正的 Facebook 登录表单，其中包含用于输入用户名和密码的字段。

然后，正如 Dr. Web 研究人员所写：

这些木马使用一种特殊的机制来欺骗他们的受害者。在启动时从其中一台 C&C 服务器收到必要的设置后，他们将合法的 Facebook 网页 加载到 WebView 中。接下来，他们将从 C&C 服务器接收到的 JavaScript 加载到同一个 WebView 中。该脚本直接用于劫持输入的登录凭据。之后，这个 JavaScript 使用通过 JavascriptInterface 注释提供的方法，将窃取的登录名和密码传递给木马应用程序，然后将数据传输到攻击者的 C&C 服务器。受害者登录其帐户后，木马还会从当前授权会话中窃取 cookie。这些 cookie 也被发送给网络犯罪分子。

对恶意程序的分析表明，它们都收到了窃取 Facebook 帐户登录名和密码的设置。然而，攻击者可以轻松地更改木马程序的设置并命令它们加载另一个合法服务的网页。他们甚至可以使用位于网络钓鱼站点上的完全伪造的登录表单。因此，特洛伊木马程序可用于从任何服务窃取登录名和密码。

研究人员确定了隐藏在应用程序中的五个恶意软件木马。其中三个是原生 Android 应用程序，其余两个使用谷歌的Flutter 框架，该框架旨在实现跨平台兼容性。Dr. Web 表示，由于它们使用相同的配置文件格式和相同的 JavaScript 代码来窃取用户数据，因此将它们全部归类为同一个木马。

Web 博士将这些木马确定为：

Android.PWS.Facebook.13Android.PWS.Facebook.14Android.PWS.Facebook.15Android.PWS.Facebook.17Android.PWS.Facebook.18

大部分下载来自名为PIP Photo的应用程序，访问次数超过 580 万次。排名第二的应用程序是Processing Photo，下载量超过 500,000。其余的应用程序是：

垃圾清理器：超过 100,000 次下载Inwell Fitness : 超过 100,000 次下载每日星座运势：超过 100,000 次下载App Lock Keep : 超过 50,000 次下载Lockit Master：超过 5,000 次下载星座 Pi : 1,000 次下载应用锁管理器：10 次下载

搜索 Google Play 显示所有应用程序都已从 Play 中删除。谷歌发言人表示，该公司还禁止所有九个应用程序的开发者进入商店，这意味着他们将不被允许提交新应用程序。这对 Google 来说是正确的做法，但它对开发人员来说只是一个最小的障碍，因为他们只需支付 25 美元的一次性费用即可以不同的名称注册一个新的开发人员帐户。

任何下载了上述应用程序之一的人都应该彻底检查他们的设备和他们的 Facebook 帐户是否有被盗的迹象。

6亿Facebook用户密码以明文存储可被员工读取，现已修复

南都讯 记者蒋琳 剑桥分析事件发生一年之际，Facebook又双叒叕被曝出数据丑闻——据统计，2亿至6亿个Facebook和Instagram用户的密码在公司内部以明文存储，且已被上千个Facebook员工搜索过，最早可以追溯到2012年。

Facebook工程、安全和隐私部副总裁Pedro Canahuatiy对此回应称，他们在一月份的例行安全审查中发现了这一情况，现已修复并将通知受影响的用户。但他强调，没有证据表明这些密码曾被滥用或被公司以外的人访问过。

2~6亿用户密码未加密，被查询900万次

当地时间21日，安全调查记者Brian Krebs在自己的网站上公布了一份调查报告，称数以亿计的Facebook用户的账户密码在公司内部以纯文本形式存储，并可被数千名内部员工搜索，某些情况下甚至可以追溯到2012年。

这个消息来自一位Facebook熟悉该事件的高级别员工。他对Krebs表示，Facebook的调查显示，有2亿到6亿Facebook用户的账户密码可能以纯文本形式存储；据访问日志显示，大约两千名Facebook工程师或开发人员对这些数据进行了约900万次内部查询。

Krebs随后向Facebook求证。Facebook软件工程师Scott Renfro说，公司还不方便透露有多少内部员工访问了这些密码等具体数字，不过Facebook已经计划通知受影响的用户。

我们为这次事件成立了一个小型工作组，以确保我们对可能存在问题的地方进行了广泛的审查”，Renfro说，为了防止这种情况再次发生，他们正在调查公司内部长期以来的基础设施变化，比如审查日志，查看是否存在数据滥用或未授权访问等情况。

Facebook声明：将通知受影响用户但无需改密码

随后，Facebook工程、安全和隐私部副总裁Pedro Canahuatiy就此事发布了声明。

Canahuatiy提到，他们在一月的一次例行安全审查中发现，有些用户的账户密码被存储为了可读格式，而Facebook一贯采用加密格式存储。据统计，共有上亿Facebook精简版（Facebook的版本之一，供网络连接较差的地区使用）用户、上千万Facebook用户、上万Instagram用户在此次事件中受到影响。

他还强调，这些密码对任何Facebook的外部人员不可见，并且他们没有发现员工有滥用或不当访问的情况。目前这个问题已经完全得到解决，他们将一一通知受到影响的用户。

这些受到影响的用户是否需要修改密码？Facebook的回应是，不用。

Renfro解释说，他们没有发现任何冲着密码而来的访问行为，所以这方面的风险并不存在。我们想要在做出修改密码的决定前有所保留，除非真的发现了数据被滥用的确切证据。”

隐私护卫队了解到，过去一年，Facebook频频因数据泄露、数据滥用、系统漏洞出现在人们视野中。仅2024年，Facebook就已经被曝出旗下 VPN 应用程序绕过苹果应用商店审核、收集用户数据被撤销开发者证书，以及多个App会偷偷”与Facebook共享用户的个人敏感信息等丑闻。