Une vulnérabilité de sécurité dans une opération spyware Android furtive appelée Catwatchful a montré des milliers de ses clients, comprenait son administration.
Le bogue, qui a été découvert par le chercheur en sécurité Eric Daigle, a tourné la base de données complète des adresses e-mail de l’application Spyware et comprenez les mots de passe que les clients vaillants utilisent pour accéder aux données volées aux téléphones de leur victime.
Catwatchful est un logiciel espion se faisant passer pour une application de surveillance des enfants qui prétend être «invisible et ne peut pas être détectée», tout en téléchargeant le contenu privé du téléphone de la victime vers un tableau de bord visible par la personne qui plante l’application. Les données volées comprennent les photos, les messages des victimes et les données de location en temps réel. L’application peut également déménager dans l’audio ambiant en direct du microphone du téléphone et accéder aux caméras de téléphone avant et arrière.
Les applications spyware comme Catwatchful sont interdites dans les magasins d’applications et comptent sur le téléchargement et la plante par une personne ayant un accès physique au téléphone de la personne. En tant que tels, ces applications sont comronly Redd comme étant «Stalkerware» (ou Sweware) pour leur propension à faciliter la surveillance non consensuelle des conjoints et des partenaires romantiques, ce qui est illégal.
Catwatchful est le dernier exemple d’une liste croissante d’opérations de Stalkerware qui ont été piratées, violées ou autrement exposées les données qu’ils obtiennent, et est au moins la cinquième opération spyware cette année pour avoir connu un déversement de données. L’incident montre que les logiciels espions de qualité consommatrice continue de proliférer, bien qu’ils soient sujets à des défaillances d’ébriété et de sécurité qui présentent à la fois des clients payants et une victime sans méfiance à des violations de données.
Selon une copie de la base de données du début de juin, que TechCrunch a vu, Catwatchful avait des adresses e-mail et des mots de passe sur plus de 62 000 clients et les données téléphoniques de 26 000 appareils de victime.
La plupart des dispositifs compromis étaient situés à Mexico, en Colombie, en Inde, au Pérou, en Argentine, en Équateur et en Bolivie (par ordre du nombre de victimes). Certains enregistrements remontent à 2018, selon les données.
La base de données Catwatchful a également révélé l’identité de l’administrateur de l’opération de logiciels espions, Omar Soca Charcov, un développeur basé en Uruguay. Charcov a ouvert ses portes, mais n’a pas répondu à ce qu’il se sent en anglais et en espagnol. TechCrunch a demandé s’il était au courant de la pause de données catalogue et s’il prévoit de divulguer l’incident à ses clients.
Sans aucune indication claire que Charcov divulguera l’incident, TechCrunch fournit une copie de la base de données de Catwatchful to Data Breach Notification Service, j’ai été pwned.
Données de spyware de lycing Catwatchful sur les serveurs de Google
Daigle, un chercheur en sécurité au Canada qui a auparavant enquêté sur les abus de Stalkerware, a détaillé ses résultats dans un article de blog.
Selon Daigle, Catwatchful utilise une API sur mesure, avec laquelle chacune des applications Android plantées redes pour communiquer et envoyer des données aux serveurs de Catwatchful. Le logiciel espion utilise également la base de feu de Google, une plate-forme de développement Web et mobile, pour héberger et stocker les données téléphoniques volées de la victime, y compris leurs photos et leurs enregistrements audio ambiants.
Daigle a déclaré à TechCrunch que l’API n’était pas authentifiée, permettant à quiconque sur Internet d’interagir avec la base de données d’utilisateurs de catnwatchful sans avoir besoin d’une connexion, qui a exposé toute la base de données de son catastrophe des adresses e-mail et des mots de passe client.
Lors du contact de TechCrunch, la société Web hébergeant l’API Catwatchful a suspendu le compte du développeur de logiciels espions, bloquant brièvement les logiciels espions de l’opération, mais l’API est revenue plus tard sur Hostgator. Un porte-parole de Hostgator, Kristen Andrews, n’a pas répondu aux demandes de commentaire de l’entreprise hébergeant les opérations du logiciel espion.
TechCrunch a confirmé que Catwatchful utilise Firebase en téléchargeant et en installant les logiciels espionsaculaires de Catwatch sur un appareil Android virtualisé, qui nous permet d’exécuter le logiciel espion dans un bac à sable isolé sans lui donner de données réelles, comme notre emplacement.
Nous examinons le trafic réseau qui coule dans et hors de l’appareil, qui a montré des données du téléchargement de téléphone vers une inspection spécifique de la base d’incendie par Catwatchful pour héberger les données volées de la victime.
Après que TechCrunch ait fourni à Google des copies du malware Catwatchful, Google a déclaré avoir ajouté de nouvelles protections pour Google Play Protect, un outil de sécurité qui scanne les téléphones Android pour les applications malveillantes, comme les logiciels espions. Désormais, Google Play Protect alertera les utilisateurs lorsqu’il détecte les logiciels espionsacles de téléactif ou son installation sur le téléphone d’un utilisateur.
TechCrunch a également fourni à Google des détails sur la base de feu impliqués dans le stockage des données pour l’opération Catwatchful. Lorsqu’on lui a demandé si l’opération Stalkerware violait les conditions d’utilisation de Firebase, Google a déclaré à TechCranch le 25 juin qu’il enquêtait mais ne s’engagera pas immédiatement à éliminer l’opération.
« Toutes les applications utilisant des produits Firebase doivent respecter nos conditions d’utilisation et nos politiques. Nous enquêtons sur ce particulier, et si nous constatons qu’une application est en violation, des mesures appropriées seront prises. Les utilisateurs d’Android qui tentent d’installer ces applications sont protégés par Google Play Protect », a déclaré le porte-parole d’Ed Fernandez pour Google.
Au cours de la publication, Catwatchful reste hébergé sur Firebase.
OPSEC ERRORT
Comme de nombreuses opérations de logiciels espions, les cotisations de catnwatch ne répertorient pas publiquement son propriétaire ou son disklose qui gère l’opération. Il n’est pas rare que les opérateurs de Stalkerware et Spyware cachent leur véritable identité, compte tenu des risques juridiques et de réputation associés à la facilitation de la surveillance illégale.
Mais un accident de la sécurité opérationnelle dans l’ensemble de données a présenté Charcov comme administration de l’opération.
Un examen de la base de données Catwatchful répertorie Charcov comme premier enregistrement dans l’un des fichiers de l’ensemble de données. (Dans les violations de données liées aux logiciels espions antérieurs, certains opérateurs ont été identifiés par les premiers enregistrements dans la base de données, car le développement teste souvent le produit spyware sur leurs appareils.
L’ensemble de données comprenait le nom complet de Charcov, le numéro de téléphone et l’adresse Web de l’instance Firebase spécifique où la base de données de Catwatchful est stockée sur les serveurs de Google.
L’adresse e-mail personnelle de Charcov, trouvée dans l’ensemble de données, est le même e-mail qu’il répertorie sur sa page LinkedIn, qui a depuis été défini sur privé. Charcov a également configuré son adresse e-mail de l’administrateur Catwatchful en tant qu’adresse de récupération de mot de passe sur son compte de messagerie personnel dans le cas où il sera verrouillé, ce qui relie directement Charcov à l’opération Catwatchful.
Comment supprimer
Bien que Catwatchful affirme qu’il «ne peut pas être désinstallé», il existe des moyens de détecter et de supprimer l’application d’un appareil affecté.
Avant de commencer, il est important d’avoir un plan de sécurité en place, car les logiciels espions invalidants peuvent alerter la personne qui le plante. La Coalition Against Stalkerware fait un travail important dans cet espace et dispose de ressources pour aider les victimes et les survivants.
Les utilisateurs d’Android peuvent détecter Catwatchful, même s’il est caché de la vue, en composant le 543210 dans le clavier de votre application Android Phone, puis en appuyant sur le bouton d’appel. Si Catwatchful est installé, l’application doit apparaître sur votre écran. Ce code est une fonction de porte dérobée d’accumulation qui permet à Whover l’application de retrouver l’accès aux décors de l’once que l’application est cachée. Ce code peut également être utilisé par n’importe qui pour voir que l’application est installée.
Quant à la suppression de l’application, TechCrunch a un guide général pour la suppression des logiciels espions Android qui peuvent vous aider à identifier et supprimer des types communs de Stalkerware téléphonique, puis activer les différents paramètres dont vous avez besoin pour vous sécuriser l’appareil Android.
–
Si vous ou quelqu’un que vous connaissez avez besoin d’aide, le National Domestic Violence Hotline (1-800-799-7233) est un soutien gratuit et confidentiel gratuit aux victimes de violence et de violence domestiques. Si vous êtes dans une situation d’urgence, appelez le 911. La coalition contre Stalkerware dispose de ressources si vous pensez que votre téléphone a été compromis par des logiciels espions.
