Вразливість у програмному забезпеченні Catwatchful, яке маскується під додаток для батьківського контролю, призвела до масштабного витоку даних тисяч користувачів, а також даних адміністратора цієї шпигунської операції. Недолік безпеки дозволив отримати повну базу електронних адрес і паролів користувачів Catwatchful, які мали доступ до вкраденої з телефонів жертв інформації.
Про це розповідає ProIT
Масштаби витоку і географія уражених пристроїв
Catwatchful позиціонує себе як непомітний додаток, який неможливо виявити, однак фактично він передає приватні дані з телефону жертви до панелі керування для того, хто встановив цей додаток. До вкраденої інформації належать фотографії, повідомлення, дані про місцеперебування в реальному часі, а також аудіозаписи з мікрофона і доступ до обох камер пристрою.
Цей вид програмного забезпечення відомий як stalkerware — додатки, які заборонені в офіційних магазинах і потребують фізичного доступу до пристрою для встановлення. Catwatchful став уже п’ятим подібним сервісом за цей рік, який зазнав витоку даних, що вкотре доводить небезпеку для як жертв, так і для користувачів таких програм через недбале програмування і порушення безпеки.
Згідно з базою даних з початку червня, Catwatchful зберігав понад 62 тисячі електронних адрес і паролів своїх клієнтів, а також дані з 26 тисяч пристроїв жертв. Більшість уражених телефонів знаходилися в Мексиці, Колумбії, Індії, Перу, Аргентині, Еквадорі та Болівії. Деякі записи датуються ще 2018 роком.
Catwatchful є шпигунським ПЗ, що маскується під додаток для моніторингу дітей і заявляє, що є «невидимим і не може бути виявлений», водночас завантажуючи особисті дані жертви на панель керування, яку бачить особа, що встановила додаток. До вкрадених даних відносяться фотографії, повідомлення та дані про місцеперебування жертв у реальному часі.
Зберігання даних на серверах Google і викриття адміністратора
Дослідник у сфері безпеки Ерік Дейгл зʼясував, що Catwatchful використовує спеціальний API для передачі даних між додатком і своїми серверами, а також платформу Google Firebase для зберігання вкраденої інформації, включаючи фотографії та аудіозаписи.
API Catwatchful не мав автентифікації, що дозволяло будь-кому отримати доступ до бази даних користувачів без авторизації. Компанія, яка хостила API, тимчасово заблокувала акаунт розробника, проте сервіс згодом відновив роботу на іншому хостингу. Google підтвердив, що Catwatchful використовує Firebase, і впровадив додатковий захист у Google Play Protect, який тепер попереджає користувачів про наявність цього шпигунського додатку на пристрої.
Унаслідок помилки в роботі з даними було розкрито особу адміністратора Catwatchful — розробника Омара Сока Чаркова з Уругваю. Його контактні дані та електронна адреса, що збігається з профілем на LinkedIn, містилися у витоку. Чарков також використав адміністративну електронну пошту Catwatchful для відновлення доступу до особистої пошти, що напряму повʼязує його з цією операцією.
Як виявити та видалити Catwatchful
Попри заяви Catwatchful про неможливість видалення додатку, існують способи його виявлення та усунення. Перш ніж діяти, варто заздалегідь продумати план безпеки, оскільки видалення шпигунського ПЗ може повідомити того, хто його встановив. Корисні ресурси можна знайти в Коаліції проти stalkerware.
Для перевірки наявності Catwatchful на Android необхідно набрати 543210 на клавіатурі телефону і натиснути кнопку виклику — якщо додаток інстальовано, він зʼявиться на екрані. Це внутрішній код, який відкриває приховану програму. Для видалення рекомендується скористатися спеціальними інструкціями щодо видалення шпигунських додатків, а також активувати захисні налаштування пристрою.
Якщо ви чи ваші знайомі потребують допомоги, звертайтеся до Національної гарячої лінії з питань домашнього насильства. Додаткові поради щодо захисту від stalkerware доступні на сайті Коаліції проти stalkerware.