Uma vulnerabilidade de segurança em uma operação furtiva de spyware Android chamada Catwatchful expôs milhares de seus clientes, incluindo seu administrador.
O bug, que foi descoberto pelo pesquisador de segurança Eric Daigle, derramou o banco de dados completo de endereços de e -mail do aplicativo Spyware e senhas de texto simples que os clientes de vigília caturram usam para acessar os dados roubados dos telefones de suas vítimas.
O Catwatchful é o Spyware que se dispensa como um aplicativo de monitoramento infantil que afirma ser “invisível e não pode ser detectado” o tempo todo carregando o conteúdo privado da vítima para um painel visível pela pessoa que plantou o aplicativo. Os dados roubados incluem as fotos, mensagens e dados de localização em tempo real das vítimas. O aplicativo também pode tocar remotamente o áudio ambiente ao vivo do microfone do telefone e acessar câmeras de telefone dianteiro e traseiro.
Os aplicativos de spyware como o Catwatchful são proibidos das lojas de aplicativos e dependem de ser baixado e plantado por alguém com acesso físico ao telefone de uma pessoa. Como tal, esses aplicativos são comumente referidos como “Stalkerware” (ou Spouseware) para sua propensão a facilitar a vigilância não consensual de cônjuges e parceiros românticos, o que é ilegal.
O Catwatchful é o exemplo mais recente de uma lista crescente de operações de perseguição que foram invadidas, violadas ou expuseram os dados que obtêm e são pelo menos a quinta operação de spyware deste ano para ter experimentado um derramamento de dados. O incidente mostra que o spyware de grau de consumidor continua a proliferar, apesar de estar propenso a falhas de codificação e segurança de má qualidade que expõem clientes pagantes e vítimas desavisadas a violações de dados.
De acordo com uma cópia do banco de dados do início de junho, que o TechCrunch viu, a Catwatchful tinha endereços de e -mail e senhas em mais de 62.000 clientes e os dados do telefone de 26.000 dispositivos das vítimas.
A maioria dos dispositivos comprometidos estava localizada no México, Colômbia, Índia, Peru, Argentina, Equador e Bolívia (em ordem do número de vítimas). Alguns dos registros datam de 2018, mostram os dados.
O banco de dados de watchful também revelou a identidade do administrador da operação de spyware, Omar Soca Charcov, desenvolvedor baseado no Uruguai. Charcov abriu nossos e -mails, mas não respondeu aos nossos pedidos de comentários enviados em inglês e espanhol. O TechCrunch perguntou se ele estava ciente da violação de dados de Watchful e se ele planeja divulgar o incidente a seus clientes.
Sem nenhuma indicação clara de que o Charcov divulgará o incidente, o TechCrunch forneceu uma cópia do banco de dados do Catwatchful para o Serviço de Notificação de Brecha de Dados, fui dado.
Dados de spyware de hospedagem
Daigle, pesquisador de segurança do Canadá que já investigou os abusos de perseguição, detalhou suas descobertas em uma postagem no blog.
De acordo com Daigle, o Catwatchful usa uma API personalizada, com a qual todos os aplicativos Android plantados se comunicam para se comunicar e enviar dados aos servidores do Catwatchful. O Spyware também usa o Firebase do Google, uma plataforma de desenvolvimento da Web e Mobile, para hospedar e armazenar os dados de telefone roubados da vítima, incluindo suas fotos e gravações de áudio ambiente.
Daigle disse ao TechCrunch que a API não era autenticada, permitindo que qualquer pessoa na Internet interaja com o banco de dados do usuário do Awatchful sem precisar de um login, o que expôs todo o banco de dados de relógios de gato de endereços de email e senhas de e -mail do cliente.
Quando contatado pela TechCrunch, a empresa da web que hospeda a API de Watchful suspendeu a conta do desenvolvedor de spyware, bloqueando brevemente o spyware da operação, mas a API retornou posteriormente no HostGator. Um porta -voz da Hostgator, Kristen Andrews, não respondeu aos pedidos de comentários sobre a empresa que hospeda as operações do Spyware.
O TechCrunch confirmou que o Catwatchful usa o Firebase, baixando e instalando o spyware de relógio de gato em um dispositivo Android virtualizado, o que nos permite executar o spyware em uma caixa de areia isolada sem fornecer dados do mundo real, como a nossa localização.
Examinamos o tráfego de rede que entra e sai do dispositivo, que mostrou dados do telefone enviado para uma instância específica de Firebase usada pelo Catwatchful para hospedar os dados roubados da vítima.
Depois que o TechCrunch forneceu ao Google cópias do malware de watchful, o Google disse que adicionou novas proteções para o Google Play Protect, uma ferramenta de segurança que verifica os telefones Android em busca de aplicativos maliciosos, como o Spyware. Agora, o Google Play Protect alertará os usuários quando detectar o spyware de vigília ou seu instalador no telefone de um usuário.
O TechCrunch também forneceu ao Google detalhes da instância do Firebase envolvida no armazenamento de dados para a operação de vigília de gato. Questionado se a operação Stalkerware viola os Termos de Serviço da Firebase, o Google disse ao TechCrunch em 25 de junho que estava investigando, mas não se comprometeria imediatamente a derrubar a operação.
“Todos os aplicativos que usam produtos Firebase devem cumprir nossos Termos de Serviço e Políticas. Estamos investigando esse problema em particular e, se descobrirmos que um aplicativo estiver em violação, serão tomadas ações apropriadas. Os usuários do Android que tentam instalar esses aplicativos são protegidos pelo Google Play Protect”, disse Ed Fernandez, porta -voz do Google.
Até a publicação, o Catwatchful permanece hospedado na Firebase.
O erro de opsec expõe o administrador de spyware
Como muitas operações de spyware, o Catwatchful não liste publicamente seu proprietário ou divulga quem executa a operação. Não é incomum que os operadores de perseguidor e spyware ocultem suas identidades reais, dados os riscos legais e de reputação associados à facilitação da vigilância ilegal.
Mas um acidente de segurança operacional no conjunto de dados exposto a Charcov como administrador da operação.
Uma revisão do banco de dados dewatchful lista o Charcov como o primeiro registro em um dos arquivos no conjunto de dados. (Em violações de dados relacionadas a spyware anteriores, alguns operadores foram identificados pelos primeiros registros no banco de dados, pois muitas vezes os desenvolvedores estão testando o produto Spyware em seus próprios dispositivos.)
O conjunto de dados incluía o nome completo do Charcov, o número de telefone e o endereço da Web da instância específica do Firebase em que o banco de dados do Catwatchful é armazenado nos servidores do Google.
O endereço de e -mail pessoal de Charcov, encontrado no conjunto de dados, é o mesmo email que ele lista em sua página do LinkedIn, que foi definida como privada. Charcov também configurou o endereço de e -mail de seu administrador de vigilância como o endereço de recuperação de senha em sua conta de email pessoal no caso de ser bloqueado, que vincula diretamente o Charcov à operação de Watchful.
Como remover spyware
Embora o Watchful afirme que “não pode ser desinstalado”, existem maneiras de detectar e remover o aplicativo de um dispositivo afetado.
Antes de começar, é importante ter um plano de segurança em vigor, pois o spyware incapacitante pode alertar a pessoa que o plantou. A coalizão contra o Stalkerware trabalha importante neste espaço e tem recursos para ajudar as vítimas e sobreviventes.
Os usuários do Android podem detectar o astro 543210 no teclado do aplicativo Android Thone e depois pressionando o botão de chamada. Se o Catwatchful estiver instalado, o aplicativo deve aparecer na tela. Este código é um recurso backdoor interno que permite que quem plantou o aplicativo para recuperar o acesso às configurações assim que o aplicativo estiver oculto. Este código também pode ser usado por qualquer pessoa para ver se o aplicativo está instalado.
Quanto à remoção do aplicativo, o TechCrunch possui um guia geral de instruções para remover spyware Android que pode ajudá-lo a identificar e remover tipos comuns de stalkerware de telefone e, em seguida, ativar as várias configurações necessárias para proteger seu dispositivo Android.
–
Se você ou alguém que você conhece precisa de ajuda, a linha direta nacional da Violência Doméstica (1-800-799-7233) fornece apoio confidencial e gratuito e confidencial 24 horas por dia, 7 dias por semana, às vítimas de abuso e violência doméstica. Se você estiver em uma situação de emergência, ligue para o 911. Coalizão contra Stalkerware tem recursos se você acha que seu telefone foi comprometido pelo Spyware.