Виявлено вразливість безпеки в Android-шпигунському додатку під назвою Catwatchful, яка поставила під загрозу тисячі користувачів, включаючи адміністратора програми.
Цю проблему виявив дослідник безпеки Ерік Дейгл, який виявив, що шпигунський додаток відкрив доступ до повної бази даних з електронними адресами і паролями в незашифрованому вигляді, які використовують клієнти Catwatchful для доступу до викрадених даних з телефонів їхніх жертв.
Catwatchful під виглядом програми для моніторингу дітей видає себе за «невидимий і недоступний для виявлення» сервіс, який завантажує приватний контент жертви на панель управління, доступну людині, яка встановила додаток. Серед викрадених даних — фотографії, повідомлення та реальна інформація про місцезнаходження жертв. Програма також має можливість удалено активувати мікрофон та камери телефону.
Шпигунські додатки, такі як Catwatchful, заборонені в магазинах додатків і потребують фізичного доступу для їх встановлення на телефон жертви. Тому їх часто називають «прибутковим шпигунством» (або «шпигунством між подружжям») через їхню здатність сприяти ненавмисному спостереженню за партнерами, що є протизаконним.
Catwatchful є нещодавнім прикладом зростаючого числа шпигунських операцій, які були зламані або піддалися витоку даних, і це щонайменше п’ята шпигунська операція цього року, яка зазнала подібного інциденту. Цей випадок вказує на те, що споживчий шпигунський програмний забезпечення продовжує розвиватися, незважаючи на ненадійний код і проблеми з безпекою, які піддають ризику як платних клієнтів, так і невинних жертв.
Згідно з копією бази даних, отриманою на початку червня, Catwatchful містив адреси електронної пошти та паролі більше ніж 62 000 користувачів і дані з телефонів 26 000 жертв.
Більшість скомпрометованих пристроїв знаходились у Мексиці, Колумбії, Індії, Перу, Аргентині, Еквадорі та Болівії (за кількістю жертв). Деякі записи датуються навіть 2018 роком.
База даних Catwatchful також виявила особу адміністратора шпигунської програми, Омар Соца Чарков, розробника з Уругваю. Чарков відкрив наші електронні листи, але не відповів на наші запити на коментар, надіслані англійською та іспанською мовами. TechCrunch поцікавився, чи знає він про витік даних Catwatchful та чи планує розповісти про інцидент своїм клієнтам.
Не отримавши жодних ясних вказівок про те, що Чарков розкриє інцидент, TechCrunch передав копію бази даних Catwatchful службі сповіщення про витоки даних Have I Been Pwned.
Catwatchful зберігає дані шпигунського програмного забезпечення на серверах Google
Дейгл, канадський дослідник безпеки, який раніше досліджував зловживання шпигунським ПЗ, поділився своїми висновками в блозі.
Згідно з Дейглом, Catwatchful використовує спеціально створений API, на якому базуються всі встановлені Android-додатки для зв’язку та передачі даних на сервери Catwatchful. Шпигунський додаток також використовує Firebase від Google, платформу для веб- та мобільної розробки, для збереження даних, викрадених з телефонів жертв, включаючи фотографії та записи навколишнього аудіо.
Дейгл повідомив TechCrunch, що API не потребував аутентифікації, що дозволяло будь-кому в Інтернеті взаємодіяти з базою даних користувачів Catwatchful без входу в систему, що вказувало на всю базу даних з електронними адресами та паролями користувачів Catwatchful.
Коли TechCrunch зв’язався з компанією, яка хостила API Catwatchful, обліковий запис розробника шпигунських програм було тимчасово призупинено, що ускладнило роботу шпигунського програмного забезпечення, але API знову з’явився на HostGator. Представник HostGator, Крістен Ендрюс, не відповіла на запити про коментарі стосовно компанії, що хостить операції шпигунського програмного забезпечення.
TechCrunch підтвердив, що Catwatchful використовує Firebase, завантаживши та встановивши шпигунський додаток Catwatchful на віртуалізованому Android-пристрої, що дозволило нам протестувати програму в ізольованому середовищі без використання реальних даних.
Ми вивчили мережевий трафік, який проходив до й з пристрою, що показав, що дані з телефону завантажуються на конкретну Firebase-інстанцію, використовувану Catwatchful для зберігання викрадених даних.
Після того, як TechCrunch надав Google копії шкідливого ПЗ Catwatchful, Google оголосив, що додав нові заходи безпеки для Google Play Protect, інструменту безпеки, який сканує Android-пристрої на наявність шкідливих додатків, таких як шпигунське програмне забезпечення. Тепер Google Play Protect попереджає користувачів, коли воно виявляє шпигунське програмне забезпечення Catwatchful або його інсталятор на пристроях.
TechCrunch також надав Google деталі Firebase-інстанції, залученої до зберігання даних для операцій Catwatchful. Запитані про те, чи порушує діяльність шпигунського програмного забезпечення умови обслуговування Firebase, представники Google заявили 25 червня, що вони проводять розслідування, але не зобов’язалися відразу ж закрити цю операцію.
“Всі програми, що використовують продукти Firebase, повинні дотримуватися наших умов обслуговування та політик. Ми розслідуємо це конкретне питання, і якщо виявимо, що програма порушує правила, буде вжито відповідних заходів. Користувачі Android, що намагаються встановити ці програми, захищені Google Play Protect,” — заявив представник Google Ед Фернандес.
На момент публікації Catwatchful досі розміщено на Firebase.
Помилка в операційній безпеці відкриває адміністратора шпигунського програмного забезпечення
Як і багато інших шпигунських операцій, Catwatchful не публікує інформацію про свого власника та тих, хто управляє операцією. Для шпигунських і шпигунських служб звично ховати свої справжні особи через правові та репутаційні ризики, пов’язані з проведенням нелегального спостереження.
Проте помилка в операційній безпеці в базі даних виявила Чаркова як адміністратора цієї операції.
Перегляд бази даних Catwatchful виявив Чаркова як перший запис в одному з файлів. (У минулих порушеннях бази даних, пов’язаних із шпигунським ПЗ, деякі оператори були виявлені завдяки раннім записям у базі даних, оскільки часто розробники тестують шпионейське ПЗ на своїх пристроях.)
База даних містила повне ім’я Чаркова, номер телефону й веб-адресу конкретної Firebase-інстанції, де зберігається база даних Catwatchful на серверах Google.
Особиста електронна адреса Чаркова, вказана в базі даних, така ж, як і та, що розміщена на його LinkedIn-сторінці, яка наразі стала приватною. Також Чарков налаштував свою електронну адресу адміністратора Catwatchful як адресу для відновлення пароля у своєму особистому акаунті, що безпосередньо пов’язує його з операцією Catwatchful.
Як видалити шпигунське ПЗ Catwatchful
Хоча Catwatchful заявляє, що його «неможливо видалити», існують способи виявлення та видалення програми з враженого пристрою.
Перед початком важливо мати план безпеки, оскільки деактивація шпигунського програмного забезпечення може попередити людину, яка встановила його. Коаліція проти шпигунства виконує важливу роботу в цій сфері і має ресурси для допомоги жертвам.
Користувачі Android можуть виявити Catwatchful, навіть якщо програма прихована, набравши 543210 у телефонному додатку Android і натиснувши кнопку виклику. Якщо Catwatchful встановлено, додаток з’явиться на екрані. Цей код — вбудована функція резервного доступу, яка дозволяє тому, хто встановив програму, знову отримати доступ до налаштувань, коли додаток приховано. Цей код може також використовуватися ким завгодно, щоб перевірити, чи встановлено додаток.
Щодо видалення програми, TechCrunch має загальний керівництво щодо видалення шпигунських програм Android, яке може допомогти ідентифікувати та видалити поширені типи шпигунського програмного забезпечення, а також активувати різні налаштування для захисту вашого Android-пристрою.
—
Якщо ви або хтось, кого ви знаєте, потребує допомоги, Національна гаряча лінія з питань домашнього насильства (1-800-799-7233) надає безкоштовну, конфіденційну підтримку жертвам домашнього насильства 24 години на добу. Якщо ви опинилися в екстреній ситуації, телефонуйте 911. Коаліція проти шпигунства має ресурси, якщо ви вважаєте, що ваш телефон був схильний до шпигунського програмного забезпечення.
