Утечка выставила на показ не только жертв, но и тех, кто платил за слежку.
В работе шпионского приложения для Android под названием Catwatchful обнаружена серьёзная уязвимость, которая привела к утечке данных тысяч его пользователей, включая самого администратора сервиса. Проблему выявил специалист по информационной безопасности из Канады Эрик Дейгл. В результате сбоя в системе оказалось доступным полное содержимое базы данных Catwatchful с адресами электронной почты и паролями клиентов, использующих приложение для слежки за чужими телефонами.
Catwatchful маскируется под приложение для родительского, однако на деле загружает личные данные с телефона жертвы на сервер, предоставляя доступ к информации тому, кто установил приложение. Среди перехваченных данных — фотографии, сообщения, геолокация, а также возможность прослушивать окружающий звук и активировать камеры устройства.
Такие программы запрещены в официальных магазинах приложений и требуют физического доступа к телефону для установки. Поэтому Catwatchful и ему подобные часто называют сталкерским софтом (stalkerware) или spouseware — они способствуют незаконному скрытому наблюдению за партнёрами и членами семьи.
Инцидент с Catwatchful стал уже пятым случаем в этом году, когда подобные сервисы становились жертвами взлома или утечки информации. Случай наглядно демонстрирует, что программы для шпионажа продолжают распространяться, несмотря на их уязвимость к техническим ошибкам и слабую защиту, что ставит под угрозу как клиентов, так и самих жертв слежки.
По данным, оказавшимся в распоряжении издания TechCrunch, база Catwatchful насчитывала более 62 тысяч учётных записей клиентов и данные с 26 тысяч устройств, на которые было установлено приложение. Больше всего пострадавших оказалось в Мексике, Колумбии, Индии, Перу, Аргентине, Эквадоре и Боливии. Некоторые записи датируются 2018 годом.
В числе утёкших данных оказалась и личная информация администратора Catwatchful — уругвайского разработчика Омара Соки Чаркова. Его имя, номер телефона, адрес электронной почты и ссылка на конкретный сервер Google Firebase, где хранятся данные жертв, содержались в открытой части базы. Электронный адрес Чаркова совпадает с контактной информацией на его странице в LinkedIn, которая вскоре после инцидента была скрыта.
Катастрофа для Catwatchful стала возможной из-за грубой ошибки в настройках API. Как рассказал Эрик Дейгл, все установленные версии шпионского приложения подключались к специально разработанному API для отправки данных. Однако интерфейс оказался полностью незащищённым — доступ к базе можно было получить без какой-либо авторизации.
После того как TechCrunch связалось с хостинг-компанией, предоставлявшей услуги Catwatchful, аккаунт разработчика временно заблокировали, что на время парализовало работу приложения. Однако спустя некоторое время сервис снова заработал на площадке HostGator, где представители компании отказались комментировать ситуацию.
Проверка, проведённая TechCrunch, подтвердила, что Catwatchful использует для хранения похищенных данных облачную платформу Google Firebase. Журналисты установили приложение на изолированное виртуальное устройство, чтобы отслеживать сетевой трафик, и зафиксировали передачу информации с телефона на сервер Catwatchful.
Google получила от журналистов копии вредоносного ПО и информацию о Firebase-сервере. В ответ компания добавила новые функции в систему защиты Google Play Protect, которая теперь способна обнаруживать Catwatchful и предупреждать владельцев устройств о его наличии.
Представители Google сообщили, что проводят расследование по факту использования Firebase сталкерским приложением. В случае подтверждения нарушения условий использования сервис обещает принять меры, однако пока Catwatchful продолжает размещать данные на платформе Google.
Несмотря на то, что разработчики Catwatchful заявляют, что приложение невозможно удалить, существует способ его обнаружения и удаления. Если на устройстве набрать код «543210» в стандартном приложении «Телефон» и нажать кнопку вызова, приложение станет видимым. Этот код используется для доступа к настройкам программы даже в скрытом режиме и позволяет проверить, установлено ли Catwatchful на телефоне.
Для удаления Catwatchful можно воспользоваться общими рекомендациями по удалению шпионского ПО на Android, а также ознакомиться с советами организаций, помогающих жертвам цифрового насилия.
По материалам: https://www.securitylab.ru/new...
В.К. Вот и думайте сами как вам поступить.
Оценил 1 человек
1 кармы