Une vulnérabilité de sécurité dans une paire d’applications de surveillance du téléphone est une exposition aux données personnelles de millions de personnes qui ont les applications installées involontairement sur leurs appareils, à un chercheur en sécurité qui défaut le défaut.
Le bogue permet à quiconque d’accéder aux données personnelles – messages, photos, journaux d’appels, et plus encore – exfiltrat à partir de n’importe quel téléphone ou tablette compromis par Cocospy et Spyic, deux applications de Stalkerware mobiles de marque différemment qui partagent en grande partie le code source. Le bogue présente également les adresses e-mail des personnes qui se sont inscrites à cocospy et spyic avec l’intention de planter l’application sur l’appareil de quelqu’un pour les surveiller secrètement.
Tout comme les autres types de logiciels espions, des produits comme CocoSpy et Spyic sont conçus pour rester cachés sur l’appareil de la victime tout en téléchargeant secrètement et en permanence les données de leur appareil sur un tableau de bord visible par la personne qui haletait l’application. Par nature de la façon dont les logiciels espions furtifs peuvent être, la majorité des propriétaires de téléphones ne savent probablement pas que leurs appareils ont été compromis.
Les opérateurs de Cocospy et Spyic n’ont pas renvoyé la demande de commentaires de TechCrunch, et ils n’ont pas non plus corrigé le bug au moment de la publication.
Le bug est relativement simple à exploiter. En tant que tel, TechCrunch ne publie pas de détails spécifiques de la vulnérabilité afin de ne pas aider les mauvais acteurs à l’exploiter et présente davantage les données personnelles sensibles des individus dont les appareils ont déjà été compromis par Cocospy et Spyic.
Le chercheur en sécurité qui a trouvé le bug a déclaré à TechCrunch qu’il permet à quiconque d’accéder à l’e-mail ajouté de la personne qui s’est inscrite aux deux applications de surveillance du téléphone.
Le chercheur collecte 1,81 million d’adresses e-mail des clients cocospy et 880 167 adresses e-mail des clients spyiques en exploitant le bogue pour gratter les données des serveurs des applications. Le chercheur a fourni le cache des adresses e-mail à Troy Hunt, qui dirige le service de notification de violation de données, j’ai été pwned.
Hunt a déclaré à TechCrunch qu’il enregistre un total combiné de 2,65 millions d’adresses e-mail uniques enregistrées auprès de cocospy et spyic pour avoir été pwned, après avoir supprimé les adresses e-mail en double qui sont apparues dans les deux lots de données. Hunt a déclaré que comme pour les violations de données liées aux logiciels spyware précédents, le cache cocospy et spyique est marqué comme «sensible», si j’ai été pwned, ce qui signifie que seule la personne ayant une adresse e-mail affectée peut voir si leurs informations sont là.
Cocospy et Spyic sont les derniers d’une longue liste de produits de surveillance qui ont connu des mises de sécurité ces dernières années, souvent à la suite de bogues ou de mauvaises pratiques de sécurité. Par le pays de Running Country de TechCrunch, Cocospy et Spyic figurent désormais parmi les 23 opérations de surveillance connues 2017 qui ont été piratées, violées ou autrement exposées en ligne de données très sensibles des clients et des victimes.
Les applications de surveillance de téléphone comme Cocospy et Spyic sont généralement des applications de contrôle parental ou de surveillance des employés, mais sont souvent remontées en tant que Stalkerware (ou Sprouseware), car certains d’entre eux font expressément la promotion de leurs applications en ligne comme moyen d’espionnage sur le spouse d’une personne ou partenaire romantique à leur insu, ce qui est illégal. Même dans le cas d’applications de surveillance mobile qui ne sont pas explicitement commercialisées pour une activité néfaste, les clients utilisent souvent ces applications à des fins ostensiblement illégales.
Les applications Stalkerware sont interdites dans les magasins d’applications et sont donc habituellement téléchargées directement à partir du fournisseur de Stalkerware. En conséquence, les applications Stalkerware nécessitent généralement un accès physique à l’appareil Android de quelqu’un, souvent avec le code d’accès de l’appareil de l’appareil de la victime. Dans le cas des iPhones et des iPads, Stalkerware peut appuyer sur le DATÉ d’un appareil d’une personne stocké dans le service de stockage cloud d’Apple ICloud, qui nécessite d’utiliser son compte Apple Creentrétials volé.
Stalkerware avec un lien en Chine
Il n’y a rien d’autre à ce que ces opérations Twoware incluent qui gère cocospy et spyic. Les opérateurs de Stalkerware essaient souvent d’éviter le public d’être prudent, étant donné les risques de réputation et juridiques qui accompagnent les opérations de surveillance de la gestion.
Cocospy et Spyic ont été lancés en 2018 et 2019, respectifs. D’après le nombre d’utilisateurs de Régistéred seuls, Cocospy est l’une des plus grandes opérations de stalkerware connues aujourd’hui.
Les chercheurs en sécurité Vangelis Stykas et Felipe Solferini, qui ont analysé plusieurs familles de statistiques dans le cadre d’un projet de recherche en 2022, ont trouvé des preuves reliant le fonctionnement de Cocospy et Spyic à 711.icu, un développeur d’applications mobiles basé en Chine, dont le site Web ne se charge plus.
Cette semaine, TechCrunch a installé les applications cocospyes et spyiques sur un appareil virtuel (ce qui nous permet d’exécuter les applications dans un bac à sable sûr sans donner aux services d’espionnage de données réelles, comme notre location). Les deux applications Stalkerware se masquent en tant qu’application «System Service» non conforme à l’aspect «System Service» pour Android, qui semble échapper à la détection en se mélangeant avec les applications intégrées d’Android.
Nous avons utilisé un outil d’analyse de réseau pour regarder les données entrant et hors de l’application pour comprendre les opérations de Howware, les données partagées et où se trouvent les serveurs.
Notre analyse du trafic a révélé que l’application envoyait les données de notre appareil virtuel via CloudFlare, un fournisseur de sécurité réseau qui obscurcit la véritable location du monde réel et hébergeur Web des opérations de logiciels espions. Mais le trafic Web a montré que les deux applications Stalkerware téléchargeaient des données de certaines victimes, comme des photos, à un serveur de stockage cloud hébergé sur Amazon Web Services.
Neith Amazon ni Cloudflare ont répondu à l’inquiétude de TechCrunch pour les opérations de Stalkerware.
L’analyse a également montré que lors de l’utilisation de l’application, le serveur répondait occasionnellement avec des messages d’état ou d’erreur en chinois, suggérant que les applications sont développées par quelqu’un avec un lien en Chine.
Ce que vous pouvez faire pour supprimer le stalkerware
Les adresses e-mail grattées de cocospy et de spyic permettent à toute personne qui a planté les applications de déterminer si leurs informations (et les données de leur victime) ont été compromises. Mais les données ne contiennent pas suffisamment d’informations identifiables pour informer les individus dont les téléphones sont compromis.
Cependant, il y a des choses que vous pouvez faire pour vérifier si votre téléphone est compromis par le cocospy et le spyic. Comme la plupart des Stalkerware, ces deux applications comptent sur la personne affaiblissant délibérément les paramètres de sécurité sur un appareil Android pour planter les applications – ou dans le cas des iPhones et des iPads, accédant au compte Apple d’une personne avec une connaissance de son nom d’utilisateur et de son mot de passe.
Même si Cocospy et Spyic essaient de se cacher en apparaissant comme une application générique appelée «System Service», il existe des moyens de les repérer.
Avec Cocospy et Spyic, vous pouvez habituellement saisir ✱✱001✱✱ sur le clavier de votre application Android, puis appuyer sur le bouton «Appelez» pour faire apparaître les applications Stalkerware à l’écran s’ils sont installés. Il s’agit d’une fonctionnalité de caractéristique sur Cocospy et Spyic pour permettre à la personne qui a planté l’application sur l’appareil de la victime de retrouver l’accès. Dans ce cas, la fonctionnalité peut également être utilisée par la victime pour déterminer si l’application est installée.
Vous pouvez également vérifier vos applications installées via le menu Applications dans le menu des paramètres Android, même si l’application est cachée de la vue.
TechCrunch possède un guide de suppression général Android Spyware qui peut vous aider à identifier et supprimer les types communs de Stalkerware de téléphone. N’oubliez pas d’avoir un plan de sécurité en place, étant donné que désactiver les logiciels espions peut alerter la personne qui la plante.
Pour les utilisateurs d’Android, l’activation de Google Play Protect est une sauvegarde utile qui peut protéger contre les applications Android malveillantes, incluse Stalkerware. Vous pouvez l’activer à partir du menu Paramètres de Google Play s’il n’est pas déjà activé.
Et si vous êtes un utilisateur de l’iPhone et de l’iPad et que vous pensez être compromis, vérifiez que votre accord Apple utilise un mot de passe long et unique (idéalement enregistré dans un gestionnaire de mot de passe) et que votre compte a également été activé par l’authentification à deux facteurs. Vous devez également vérifier et supprimer tous les appareils de votre anniversaire que vous ne reconnaissez pas.
Si vous ou quelqu’un que vous connaissez avez besoin d’aide, le National Domestic Violence Hotline (1-800-799-7233) est un soutien gratuit et confidentiel gratuit aux victimes de violence et de violence domestiques. Si vous êtes dans une situation d’urgence, appelez le 911. La coalition contre Stalkerware dispose de ressources si vous pensez que votre téléphone a été compromis par des logiciels espions.
Contactez Zack Whittaker en toute sécurité sur le signal et WhatsApp à +1 646-755-8849. Vous pouvez également partager des documents en toute sécurité avec TechCrunch via SecuredRop.
