חוקר אבטחה חשף דליפת נתונים מסיבית מאפליקציה לניטור סמוי של טלפונים אנדרואיד, שהובילה לחשיפת כתובות אימייל, סיסמאות לא מוצפנות ונתונים רגישים נוספים של 62,000 משתמשים.
החוקר אריק דייגל גילה פגיעות אבטחה באפליקציה Catwatchful, המשווקת כאמצעי לניטור כל הפעילויות במכשיר אנדרואיד באופן סמוי. הפרצה, שנוצרה בעקבות פגיעות SQL injection - שיטת פריצה שמנצלת חולשות במסד הנתונים - אפשרה לכל מי שניצל אותה לגשת לחשבונות המשתמשים ולכל המידע שנאגר בהם.
אפליקציה "בלתי ניתנת לזיהוי"
על פי המומחים, אף על פי שיצרני האפליקציה טוענים כי היא מיועדת ל"ניטור הורי", הם מדגישים את יכולות ההסתרה והאבטחה שלה, מה שמרמז באופן די ברור כי היא מיועדת למעשה למשתמשים עם מטרות אחרות לגמרי.
"Catwatchful היא בלתי נראית", נכתב בעמוד השיווק של האפליקציה. "היא לא ניתנת לזיהוי. היא לא ניתנת להסרה. היא לא ניתנת לעצירה. היא לא ניתנת לסגירה. רק אתה יכול לגשת למידע שהיא אוספת".
היצרנים מוסיפים שהמשתמשים "יכולים לנטר טלפון מבלי שהבעלים שלו יגלו. האפליקציה בלתי נראית ובלתי ניתנת לזיהוי בטלפון. היא פועלת במצב נסתר וסמוי".
פתח אחורי סודי
דייגל מציין שהאפליקציה אכן נשארת נסתרת במכשירים כשהיא מעלה בזמן אמת תוכן שניתן לצפות בו מלוח בקרה מקוון. החוקר מציין שהנתונים שדלפו אפשרו לו לזהות את מפעילי האפליקציה וכמה מהשירותים המקוונים שהם מסתמכים עליהם לצורך פעילותם.
בעקבות הפרסום, שירות רשת שאירח את תשתית האפליקציה הפסיק את השירות לאחר שקיבל פניות בנושא. לאחר מכן, חברת האירוח HostGator החלה לארח את התשתית.
הגנות חדשות של גוגל
בעקבות החשיפה, הודיעה חברת גוגל, כי היא הוסיפה הגנות חדשות ל-Google Play Protect, כלי האבטחה שלה לזיהוי אפליקציות זדוניות בטלפוני אנדרואיד. ההגנות החדשות יזהו את תוכנת הריגול Catwatchful או את מתקין האפליקציה בטלפון המשתמש.
המקרה חושף את הסיכונים שבשימוש באפליקציות לניטור סמוי, הן למנטרים והן למנוטרים. מעבר לבעיות האתיות והחוקיות, האפליקציות הללו עלולות לחשוף את המשתמשים לסיכוני אבטחה משמעותיים, כפי שאכן קרה בדליפת הנתונים הנוכחית.
טעינו? נתקן! אם מצאתם טעות בכתבה, נשמח שתשתפו אותנו