Нова серйозна уразливість в Android-«сталкервері» під назвою Catwatchful викрила дані понад 62 000 користувачів і 26 000 жертв. Пошкодження стало наслідком поганої безпеки серверної інфраструктури, що демонструє ризики подібних програм, дозволених лише завдяки прямому доступу до телефону. Про це повідомляє TechCrunch.
Причини витоку
Дослідник з безпеки Ерік Дайґл виявив критичну уразливість у шпигунській програмі Catwatchful, яка дозволяла без автентифікації отримати доступ до повної бази даних сервісу. Серед викраденої інформації — email-адреси та паролі користувачів, збережені у відкритому вигляді. Також у централізованій базі зберігались чутливі дані з заражених пристроїв: фотографії, особисті повідомлення, геолокація, аудіозаписи з мікрофону та відео з обох камер.
Як працює Catwatchful
Catwatchful маскується під легітимні застосунки для батьківського контролю, однак фактично є шпигунським програмним забезпеченням, що працює у фоновому режимі та непомітно збирає дані з пристрою. Програма не розповсюджується через офіційні магазини, а встановлюється вручну особами, які мають фізичний доступ до смартфона жертви. Таке ПЗ часто називають «stalkerware» або «spouseware», оскільки його найчастіше використовують для несанкціонованого стеження за партнерами чи членами родини, що порушує законодавство у більшості країн.
