Приложение для родительского контроля крадет конфиденциальные данные со смартфона
Шпионское приложение, предназначенное для "мониторинга всего" на смартфоне жертвы, было тайно установлено на тысячи телефонов.
Приложение родительского контроля KidsGuard может "получить доступ ко всей информации" на целевом устройстве, включая его местоположение в режиме реального времени, текстовые сообщения, историю браузера, доступ к фотографиям, видео и действиям в других приложениях, а также записи телефонных звонков.
Неправильно настроенный сервер приложения создал ситуацию, когда оно тайно выкладывало загруженное содержимое с устройств жертв в Интернет.
Эти шпионские приложения потребительского уровня, также известные как "сталкеры", в последние годы распространены и часто устанавливаются в смартфон без ведома жертвы. Хотя многие из этих приложений предназначены для родителей, чтобы следить за деятельностью детей, многие из них переназначают приложения, чтобы шпионить за своими супругами. Это побудило группы по обеспечению конфиденциальности и охранные фирмы работать вместе, чтобы помочь лучше идентифицировать сталкеров.
KidsGuard ничем не отличается. Его производитель, ClevGuard, рассматривает шпионское приложение как "скрытый" способ обезопасить детей, но оно также может быть использовано для "поимки "на горячем" изменяющего супруга или наблюдения за сотрудниками".
Однако ошибка в безопасности дает ключевое представление о том, насколько распространенными и навязчивыми могут быть эти приложения для сталкеров.
В приложении для родительского контроля KidsGuard обнаружено, что оно отфильтровывает содержимое смартфонов жертв в облачном хранилище Alibaba, которое названо так, предполагая, что приложение хранит только данные, собранные с устройств Android.
Используя записывающее устройство Android с закрытым микрофоном и закрытыми камерами, исследователи установили приложение и использовали инструмент анализа сетевого трафика, чтобы понять, какие данные поступают на устройство и какие из него уходят на сервер.
Приложение, которое необходимо купить и загрузить непосредственно с ClevGuard, можно установить за пару минут. (ClevGuard утверждает, что также поддерживает iPhone, запрашивая учетные данные iCloud для доступа к содержимому резервных копий iCloud, что противоречит политике Apple.) Приложение должно быть установлено лицом, имеющим физический доступ к смартфону жертвы и оно не требует разрешений рутс или джейлбрейк. Кроме того, в системе Android шпионский софт требует, чтобы определенные встроенные функции безопасности были отключены, например, позволяя устанавливать не одобренные Google приложения и отключать Google Play Protect, что помогает предотвратить запуск вредоносных приложений.
После установки ClevGuard говорит, что его приложение работает в режиме "невидимости" и невидимо для жертвы. Это достигается путем того, что программа маскируется под приложение "системного обновления" для Android, которое выглядит практически неотличимым от базовых системных служб.
А поскольку значок приложения отсутствует, жертве трудно узнать, что устройство взломано.
В ходе тестирования специалисты обнаружили, что программа тайно и почти постоянно выкачивает контент со смартфона жертвы, включая то, что хранится в фотографиях и видео-приложениях, а также записи телефонных звонков жертвы.
Приложение также предоставляет доступ всем, кто его устанавливает к истории звонков и текстовых сообщений жертвы, в различных приложениях, таких как WhatsApp, Instagram, Viber и Facebook Messenger. Кроме того, оно может отслеживать действия жертвы в приложениях для знакомств. Программа тайно делает скриншоты разговоров жертвы в таких приложениях, как Snapchat и Signal, чтобы захватить сообщения до того, как они будут удалены.
Также, производитель шпионского софта для смартфонов может записывать и отслеживать точное местоположение устройства и получать доступ к истории его просмотров.
Хотя приложение сообщает, что оно может получить доступ к контактам жертвы, загруженные данные, хранящиеся в открытой корзине, не включают списки контактов или легко идентифицируемую информацию о жертве, что затрудняет массовое уведомление жертв.
После того, как исследователями безопасности была обнаружена эта уязвимость в KidsGuard, ClevGuard закрыл открытое облачное хранилище. Кроме того, компания Alibaba также предупредила разработчика шпионского софта о разоблачении.
"Это свидетельствует о том, что компании- шпионы и сталкеры не только морально разложились, но и часто не в состоянии защитить украденные пользовательские данные, даже когда они у них есть", - говорит Купер Квинтин, старший технический специалист Electronic Frontier Foundation, который также исследовал приложение.
"Тот факт, что уркаденная информация включает даже данные о маленьких детях, вызывает тревогу и тошноту", - сказал Квинтин.
Этот случай один из многих, в длинном списке шпионских компаний, у которых были утечки данных или уязвимые системы. Вице-технический новостной сайт Motherboard сообщил о большинстве из таких фирм, включая mSpy, Mobistealth и Flexispy. Кроме того, федеральная торговая комиссия США начала судебный процесс против одного производителя шпионских приложений, Retina-X, у которого было два случая утечки персональных данных, связанные с конфиденциальностью жертв.