Securitatea în pericol: Catwatchful, aplicația de supraveghere, spionează mii de telefoane
O vulnerabilitate de securitate într-o operațiune de spyware Android numită Catwatchful a expus mii de clienți, inclusiv administratorul său. Bug-ul, descoperit de cercetătorul în securitate Eric Daigle, a dezvăluit întreaga bază de date a aplicației spyware, incluzând adresele de email și parolele în text simplu pe care clienții Catwatchful le folosesc pentru a accesa datele furate de pe telefoanele victimelor lor.
Catwatchful este un spyware care se prezintă ca o aplicație de monitorizare a copiilor, susținând că este „invizibilă și nu poate fi detectată”, în timp ce încarcă conținutul privat al telefonului victimei pe un tablou de bord vizibil pentru persoana care a instalat aplicația. Datele furate includ fotografii, mesaje și date despre locația în timp real a victimelor. De asemenea, aplicația poate accesa microfonul telefonului pentru a asculta audio în timp real și poate accesa camerele foto din față și din spate ale telefonului.
Aplicațiile spyware, precum Catwatchful, sunt interzise în magazinele de aplicații și depind de a fi descărcate și instalate de cineva cu acces fizic la telefonul unei persoane. Din acest motiv, aceste aplicații sunt adesea denumite „stalkerware” (sau spouseware) pentru tendința lor de a facilita supravegherea neconsensuală a soților și partenerilor romantici, ceea ce este ilegal.
Catwatchful este cel mai recent exemplu dintr-o listă în creștere de operațiuni de stalkerware care au fost hack-uite, compromise sau altfel expuse. Este cel puțin a cincea operațiune de spyware din acest an care a experimentat o scurgere de date. Incidentul arată că spyware-ul de consum continuă să prolifereze, în ciuda faptului că este predispus la codare slabă și deficiențe de securitate, care expun atât clienții plătitori, cât și victimele nevinovate la breșe de date.
Conform unei copii a bazei de date din luna iunie, pe care TechCrunch a văzut-o, Catwatchful avea adrese de email și parole pentru mai mult de 62.000 de clienți și datele telefonului de la 26.000 de dispozitive ale victimelor. Cele mai multe dintre dispozitivele compromise se aflau în Mexic, Colombia, India, Peru, Argentina, Ecuador și Bolivia (în ordinea numărului de victime). Unele dintre înregistrări datează din 2018.
Baza de date Catwatchful a dezvăluit și identitatea administratorului operațiunii de spyware, Omar Soca Charcov, un dezvoltator din Uruguay. Charcov a deschis email-urile noastre, dar nu a răspuns la solicitările noastre de comentarii trimise atât în engleză, cât și în spaniolă. TechCrunch a întrebat dacă era conștient de breșa de date Catwatchful și dacă intenționează să dezvăluie incidentul clienților săi.
Fără nicio indicație clară că Charcov va dezvălui incidentul, TechCrunch a furnizat o copie a bazei de date Catwatchful serviciului de notificare a breșelor de date Have I Been Pwned.
Catwatchful găzduiește datele spyware pe serverele Google
Daigle a detaliat constatările sale într-o postare pe blog. Conform lui, Catwatchful folosește o API personalizată, pe care fiecare dintre aplicațiile Android plantate se bazează pentru a comunica și a trimite date către serverele Catwatchful. Spyware-ul utilizează, de asemenea, Firebase de la Google, o platformă de dezvoltare web și mobilă, pentru a găzdui și stoca datele furate de la telefoanele victimelor, inclusiv fotografiile și înregistrările audio ambientale.
Daigle a declarat că API-ul era neautentificat, permițând oricărei persoane de pe internet să interacționeze cu baza de date a utilizatorilor Catwatchful fără a avea nevoie de un login, expunând întreaga bază de date cu adrese de email și parole ale clienților. Când a fost contactată, compania web care găzduiește API-ul Catwatchful a suspendat contul dezvoltatorului spyware, blocând temporar funcționarea spyware-ului, dar API-ul a revenit ulterior pe HostGator.
TechCrunch a confirmat că Catwatchful folosește Firebase descărcând și instalând spyware-ul Catwatchful pe un dispozitiv Android virtualizat, care permite rularea spyware-ului într-un sandbox izolat fără a oferi date reale, cum ar fi locația noastră. Am examinat traficul de rețea care curge în și din dispozitiv, care a arătat că datele de pe telefon se încarcă pe o instanță specifică Firebase utilizată de Catwatchful pentru a găzdui datele furate ale victimelor.
După ce TechCrunch a furnizat Google copii ale malware-ului Catwatchful, Google a declarat că a adăugat noi protecții pentru Google Play Protect, un instrument de securitate care scanează telefoanele Android pentru aplicații malițioase, cum ar fi spyware-ul. Acum, Google Play Protect va alerta utilizatorii atunci când detectează spyware-ul Catwatchful sau instalatorul acestuia pe telefonul unui utilizator.
TechCrunch a furnizat, de asemenea, Google detalii despre instanța Firebase implicată în stocarea datelor pentru operațiunea Catwatchful. Întrebat dacă operațiunea de stalkerware încalcă termenii de serviciu Firebase, Google a declarat că investighează, dar nu s-a angajat imediat să închidă operațiunea.
„Toate aplicațiile care folosesc produsele Firebase trebuie să respecte termenii și politicile noastre de serviciu. Investigăm această problemă particulară și, dacă vom constata că o aplicație încalcă, se vor lua măsuri adecvate. Utilizatorii Android care încearcă să instaleze aceste aplicații sunt protejați de Google Play Protect”, a spus Ed Fernandez, un purtător de cuvânt al Google.
Până la publicare, Catwatchful rămâne găzduit pe Firebase.
Greșelile de securitate expun administratorul spyware-ului
Ca multe operațiuni de spyware, Catwatchful nu listează public proprietarul său sau dezvăluie cine conduce operațiunea. Nu este neobișnuit ca operatorii de stalkerware și spyware să își ascundă identitățile reale, având în vedere riscurile legale și reputaționale asociate cu facilitarea supravegherii ilegale.
Dar o greșeală de securitate în setul de date l-a expus pe Charcov ca administrator al operațiunii. O revizuire a bazei de date Catwatchful îl listează pe Charcov ca prima înregistrare într-unul dintre fișierele din setul de date. (În trecut, în breșele de date legate de spyware, unii operatori au fost identificați prin înregistrări timpurii din baza de date, deoarece dezvoltatorii testează adesea produsul spyware pe propriile dispozitive.)
Setul de date include numele complet, numărul de telefon și adresa web a instanței specifice Firebase unde este stocată baza de date Catwatchful pe serverele Google. Adresa de email personală a lui Charcov, găsită în setul de date, este aceeași adresă pe care o listează pe pagina sa LinkedIn, care între timp a fost setată pe privat. Charcov a configurat, de asemenea, adresa de email a administratorului Catwatchful ca adresă de recuperare a parolei pe contul său de email personal, în cazul în care rămâne blocat, ceea ce îl leagă direct de operațiunea Catwatchful.
Cum să eliminați spyware-ul Catwatchful
Deși Catwatchful susține că „nu poate fi dezinstalată”, există modalități de a detecta și a elimina aplicația de pe un dispozitiv afectat.
Înainte de a începe, este important să aveți un plan de siguranță, deoarece dezactivarea spyware-ului poate alerta persoana care l-a plantat. Coalition Against Stalkerware face o muncă importantă în acest domeniu și are resurse pentru a ajuta victimele și supraviețuitorii.
Utilizatorii Android pot detecta Catwatchful, chiar dacă este ascunsă, tastând 543210 în aplicația de telefon Android și apoi apăsând butonul de apelare. Dacă Catwatchful este instalată, aplicația ar trebui să apară pe ecranul dumneavoastră. Acest cod este o caracteristică de backdoor încorporată care permite oricui a plantat aplicația să recupereze accesul la setări odată ce aplicația este ascunsă. Acest cod poate fi folosit, de asemenea, de oricine pentru a verifica dacă aplicația este instalată.
În ceea ce privește eliminarea aplicației, există un ghid general pentru eliminarea spyware-ului Android care poate ajuta utilizatorii să identifice și să elimine tipurile comune de stalkerware de pe telefon și apoi să activeze diverse setări necesare pentru a securiza dispozitivul Android.
Dacă dumneavoastră sau cineva pe care îl cunoașteți are nevoie de ajutor, National Domestic Violence Hotline (1-800-799-7233) oferă suport gratuit și confidențial 24/7 pentru victimele abuzului și violenței domestice. Dacă vă aflați într-o situație de urgență, sunați la 911. Coalition Against Stalkerware are resurse dacă credeți că telefonul dumneavoastră a fost compromis de spyware.
