По словам исследователя безопасности, которые нашли недостаток, уязвимость в паре приложений для мониторинга телефона-это раскрытие личных данных миллионов людей, которые невольно установлены на своих устройствах, которые нашли недостаток.
Ошибка позволяет кому -либо получить доступ к персональным данным — сообщениям, фотографиям, журналам вызовов и многим другим — эксфильтрированным из любого телефона или планшета, скомпрометированных кокоспией и SPYIC, двумя по -разному фирменными приложениями для сталкеров, которые имеют в основном одинаковый исходный код. Ошибка также раскрывает адреса электронной почты людей, которые подписались на кокоспию и Spyic с намерением посадить приложение на чьем -то устройстве, чтобы скрытно контролировать их.
Как и другие виды шпионских программ, такие продукты, как Cocospy и Spyic, предназначены для того, чтобы оставаться скрытыми на устройстве жертвы, в то же время скрытно и постоянно загружая данные их устройства на панель панели, видимую человеком, который посадил приложение. По своей природе, как может быть скрытная шпионская программа, большинство владельцев телефонов, вероятно, не знают, что их устройства были скомпрометированы.
Операторы Cocospy и Spyic не возвращали запрос TechCrunch о комментариях, и они не исправили ошибку во время публикации.
Ошибка относительно проста в эксплуатации. Таким образом, TechCrunch не публикует конкретные детали уязвимости, чтобы не помочь плохим субъектам использовать его и еще больше разоблачить чувствительные личные данные людей, чьи устройства уже поставлены под угрозу кокоспией и SPYIC.
Исследователь безопасности, который обнаружил эту ошибку, сказал TechCrunch, что позволяет любому, чтобы получить доступ к адресу электронной почты человека, который подписался на любое из двух приложений для мониторинга телефона.
Исследователь собрал 1,81 миллион адресов электронной почты клиентов Cocospy и 880 167 адресов электронной почты клиентов Spyic, эксплуатируя ошибку, чтобы соскрести данные с серверов приложений. Исследователь предоставил кэш адресов электронной почты Трою Ханту, который запускает службу уведомлений о нарушении данных, я был подписан.
Хант сказал TechCrunch, что он загрузил общую сумму 2,65 миллиона уникальных адресов электронной почты, зарегистрированных в Cocospy и Spyic, чтобы я был в курсе после того, как он удалил дублируемые адреса электронной почты, которые появились в обеих партиях данных. Хант сказал, что, как и в случае с предыдущими нарушениями данных, связанных с шпионским программным обеспечением, кокоспия и кэш шпионки помечены как «чувствительные», в том, что я был введен там.
Cocospy и Spyic являются последними в длинном списке продуктов наблюдения, которые в последние годы испытали неудачи безопасности, часто в результате ошибок или плохой практики безопасности. Благодаря подсчету TechCrunch, Cocospy и Spyic в настоящее время являются одними из 23 известных операций наблюдения с 2017 года, которые были взломаны, нарушены или иным образом разоблачили высококонсультные данные клиентов и жертв в Интернете.
Приложения для мониторинга телефона, такие как Cocospy и Spyic, обычно продаются в качестве приложений для родительского контроля или мониторинга сотрудников, но их часто называют Stalkerware (или Sourswouseware), поскольку некоторые из этих продуктов прямо продвигают свои приложения в Интернете как средство шпионажа на супруге человека или романтический партнер без их ведома, что является незаконным. Даже в случае мобильных приложений наблюдения, которые явно не продаются для гнусной деятельности, часто клиенты по -прежнему используют эти приложения для якобы незаконных целей.
Приложения Stalkerware запрещены в магазинах приложений, и поэтому обычно загружаются непосредственно у поставщика Stalkerware. В результате приложения Stalkerware обычно требуют физического доступа к чьему -либо устройству Android, которое часто можно было, часто с предварительным знанием пассарода для устройства жертвы. В случае iPhone и iPad, Stalkerware может нажать на данные устройства человека, хранящиеся в Service Apple Cloud Storage Icloud, которая требует использования их изящных учетных данных учетной записи Apple.
Сталкера с китайской Nexus
Мало что еще известно об этих двух операциях Spyware, в том числе о том, кто управляет Cocospy и Spyic. Операторы Stalkerware часто пытаются отказаться от общественного внимания, учитывая репутационные и юридические риски, которые идут с операциями по наблюдению за управлением.
Cocospy и Spyic запущены в 2018 и 2019 годах соответственно. Из числа зарегистрированных пользователей Cocospy является одной из крупнейших известных операций Stalkerware сегодня.
Исследователи безопасности Vangelis Stykas и Felipe Solferini, которые проанализировали несколько семей Stalkerware в рамках исследовательского проекта 2022 года, обнаружили, что доказательства, связывающие работу Cocospy и Spyic с 711.ICU, китайским разработчиком мобильных приложений, веб-сайт которого больше не загружается.
На этой неделе TechCrunch установил приложения Cocospy и Spyic на виртуальное устройство (что позволяет нам запускать приложения в безопасной песочнице, не предоставляя ни одной из служб SPY любые реальные данные, такие как наше местоположение). Оба приложения Stalkerware маскируются под приложение «Системное обслуживание», похожее на невзрачное, для Android, которое, по-видимому, уклоняется от обнаружения, смешивая со встроенными приложениями Android.
Мы использовали инструмент сетевого анализа, чтобы наблюдать, как данные, проходящие в приложении, чтобы понять, как работают операции Spyware, какие данные передаются и где расположены серверы.
Наш анализ трафика обнаружил, что приложение отправляет данные нашего виртуального устройства через Cloudflare, поставщика сети, который запутывает истинное местоположение реального мира и веб-хост операций Spyware. Но веб -трафик показал, что два приложения Stalkerware загружают данные некоторых жертв, такие как фотографии, на сервер облачного хранилища, размещенный на веб -службах Amazon.
Ни Amazon, ни Cloudflare не ответили на запросы TechCrunch о операциях Stalkerware.
Анализ также показал, что, используя приложение, сервер иногда отвечал бы статусом или сообщениями об ошибках на китайском языке, предполагая, что приложения разрабатываются кем -то с Nexus в Китай.
Что вы можете сделать, чтобы удалить Сталкерскую программу
Адреса электронной почты, скрещенные из кокоспии и SPYIC, позволяют любому, кто посадил приложения, определить, была ли их информация (и данные их жертвы) была скомпрометирована. Но данные не содержат достаточного количества идентифицируемой информации, чтобы уведомить людей, чьи телефоны скомпрометированы.
Тем не менее, есть вещи, которые вы можете сделать, чтобы проверить, не скомпрометирован ли ваш телефон кокоспией и Spyic. Как и большинство Stalkerware, оба эти приложения полагаются на человека, намеренно ослабляющего настройки безопасности на устройстве Android для посадки приложений — или в случае iPhone и iPad, доступ к учетной записи человека, зная их имя пользователя и пароль.
Несмотря на то, что и Cocospy, и Spyic пытаются спрятаться, появившись как общее приложение под названием «System Service», есть способы их заметить.
С кокоспикой и шпионкой вы обычно можете войти ✱✱001✱✱ На клавиатуре вашего приложения Android Phone, а затем нажмите кнопку «Вызовы», чтобы приложения Stalkerware появились на экране-если они установлены. Это функция, встроенная в кокоспию и шпион, чтобы позволить человеку, который посадил приложение на устройстве жертвы восстановить доступ. В этом случае функция также может использоваться жертвой, чтобы определить, установлено ли приложение.
Вы также можете проверить свои установленные приложения через меню приложений в меню «Настройки Android», даже если приложение скрыто от просмотра.
Приложения Cocospy и Spyic Stalkerware маскируются под приложение «Системная служба».Кредиты изображения:TechCrunch
У TechCrunch есть общее руководство по удалению шпионских программ Android, которое может помочь вам идентифицировать и удалить общие типы телефонных сборов. Не забудьте иметь план безопасности на месте, учитывая, что отключение шпионского программного обеспечения может предупредить человека, который его посадил.
Для пользователей Android переключение Google Play Protect — это полезная защита, которая может защитить от вредоносных приложений Android, включая Stalkerware. Вы можете включить его из меню «Настройки Google Play», если он еще не включен.
И если вы пользователь iPhone и iPad и думаете, что вы можете быть скомпрометированы, убедитесь, что ваша учетная запись Apple использует длинный и уникальный пароль (в идеале сохраняется в диспетчере пароля) и что ваша учетная запись также имеет двухфакторную аутентификацию. Вы также должны проверить и удалить любые устройства из вашей учетной записи, которые вы не узнаете.
Если вам или кто-то из ваших знакомых нуждается в помощи, национальная горячая линия насилия в семье (1-800-799-7233) предоставляет 24/7 бесплатную, конфиденциальную поддержку жертвам насилия в семье и насилия. Если вы находитесь в чрезвычайной ситуации, позвоните по телефону 911. Коалиция против Stalkerware имеет ресурсы, если вы считаете, что ваш телефон был скомпрометирован Spyware.
Свяжитесь с Зак Уиттакер надежно по сигналу и WhatsApp по телефону +1 646-755-8849. Вы также можете безопасно поделиться документами с TechCrunch через Securedrop.
