Виробник програм для стеження, який має серйозні проблеми з витоками даних, виявив критичну вразливість безпеки, що дозволяє будь-якому охочому отримати доступ до користувацьких облікових записів і викрасти особисті дані жертв, підтвердили експерти.
Вразливість у TheTruthSpy
Незалежний дослідник безпеки Сваранг Уейд виявив вразливість у додатку для стеження TheTruthSpy, що дозволяє скинути пароль будь-якого користувача програми та її супутніх шкідливих додатків. Це призводить до захоплення облікових записів на платформі. Враховуючи характер TheTruthSpy, можна вважати, що багато клієнтів використовують програму без згоди своїх жертв, які не підозрюють, що їхні телефонні дані потрапляють до сторонніх осіб.
Цей базовий недолік ще раз підтверджує, що виробники споживчого програмного забезпечення для стеження, такого як TheTruthSpy, не здатні захистити дані користувачів. Ці програми не тільки сприяють незаконному стеженню, часто з боку абюзивних партнерів, але також мають ненадійні практики безпеки, які піддають ризику особисті дані як жертв, так і порушників.
Наразі було виявлено щонайменше 26 випадків витоків даних у програмах стеження за останніми роками. За нашими підрахунками, це вже четвертий випадок порушення безпеки в TheTruthSpy.
Експерти підтвердили вразливість, надавши досліднику логіни кількох тестових облікових записів. Дослідник швидко змінив паролі на цих облікових записах. Уейд спробував зв’язатися з власником TheTruthSpy, щоб повідомити про вразливість, але не отримав відповіді.
На запитання експертів, директор програми відповів, що він «втратив» вихідний код і не може виправити проблему.
Станом на момент публікації вразливість продовжує існувати і становить серйозну загрозу для тисяч людей, чиї телефони ймовірно були скомпрометовані програмним забезпеченням TheTruthSpy без їхньої згоди.
З огляду на ризик для широкого загалу, ми не будемо детально описувати вразливість, щоб не допомогти зловмисникам.
Коротка історія численних вразливостей TheTruthSpy
TheTruthSpy — це продукт з практично десятирічною історією, який став однією з найбільших мереж телефонного стеження в мережі.
TheTruthSpy розробляється компанією 1Byte Software, яка базується у В’єтнамі, під керівництвом Тхіу. TheTruthSpy є частиною ряду практично ідентичних Android-додатків для стеження з різними назвами, включаючи Copy9, а також раніше існуючі бренди iSpyoo, MxSpy та інші. Усі ці програми мають однакові інтерфейси для доступу до викрадених даних.
Отже, недоліки безпеки в TheTruthSpy також впливають на користувачів будь-якої брендової чи перевіреної програми стеження, яка використовує базовий код TheTruthSpy.
У рамках розслідування стосовно індустрії програм стеження в 2021 році експерти виявили, що TheTruthSpy мала вразливість, яка викривала приватні дані 400,000 жертв. Витік даних містив особисту інформацію, зокрема приватні повідомлення, фотографії, журнали дзвінків і історію місцезнаходження.
Експерти також отримали пакет файлів з серверів TheTruthSpy, який розкривав внутрішню роботу програми. У файлах також значився список Android-пристроїв, скомпрометованих TheTruthSpy або супутніми програмами. Хоча в списку не було достатньо даних для ідентифікації кожної жертви, це дозволило створити інструмент для перевірки, чи є пристрій у списку.
Подальші звіти показали, що TheTruthSpy покладалася на величезну схему відмивання грошей, використовуючи підроблені документи та фальшиві особи для обходу обмежень, накладених платіжними системами на програми для стеження.
Наприкінці 2023 року TheTruthSpy знову зазнала витоку даних, в результаті чого була викрита приватна інформація ще 50,000 нових жертв. Експерти отримали копію цих даних і додали оновлені записи до свого інструменту перевірки.
TheTruthSpy, продовжуючи витік даних, змінює назву на PhoneParental
На даний момент деякі з операцій TheTruthSpy припинили свою діяльність, а інші частини змінили назву, щоб уникнути репутаційних втрат. TheTruthSpy існує й сьогодні, зберігаючи більшу частину свого проблемного вихідного коду та вразливих інтерфейсів, але під новим іменем PhoneParental.
Тхіу продовжує займатися розробкою програм для моніторингу телефонів і стеження.
Згідно з останнім аналізом веб-інфраструктури TheTruthSpy, операція продовжує покладатися на софт, розроблений Тхіу, під назвою JFramework, який використовують всі добавки TheTruthSpy для передачі даних на свої сервери.
У листі Тхіу зазначив, що перебудовує програми з нуля, включаючи новий додаток моніторингу телефонів під назвою MyPhones.app. Тестування мережі, проведене експертами, показало, що MyPhones.app використовує JFramework для своїх операцій, так само як і TheTruthSpy.
Експерти мають посібник, що пояснює, як ідентифікувати та видалити програми стеження з телефону.
TheTruthSpy, так само як і інші операції зі стеження, залишається загрозою для жертв, чиї телефони скомпрометовані її програмами, не лише через викрадення високочутливих даних, а й через те, що ці операції постійно доводять свою нездатність захистити дані своїх жертв.
