Spywarová aplikace Catwatchful, která se vydává za nástroj pro rodičovskou kontrolu, se vymkla kontrole. Kvůli bezpečnostní chybě se na veřejnost dostaly přihlašovací údaje více než 62 tisíc uživatelů. A to včetně e-mailových adres a hesel.
Aplikace slibuje absolutní nenápadnost. Po instalaci běží na pozadí, sbírá fotky, videa, zvuk i lokaci, a přitom se nedá běžně odhalit ani odinstalovat. Vývojáři se tím nijak netají. Aplikace funguje tiše a skrytě.
Instalace vyžaduje fyzický přístup k zařízení. Po nahrání aplikace začne okamžitě sledovat, nahrávat data na Firebase a umožňuje přístup přes webové rozhraní. Uživatelé dostávají vlastní APK s přednastavenými údaji.
Chyba v kódu odkryla celou databázi
Bezpečnostní expert při testování zjistil, že webová API Catwatchful obsahuje klasickou chybu typu SQL Injection. Díky tomu se dostal ke kompletní databázi účtů včetně jmen, hesel a informací o sledovaných zařízeních.
V úniku se objevilo přes 62 tisíc přihlašovacích údajů. Útočník s přístupem k databázi by mohl převzít jakýkoli účet, a tedy i přístup k citlivým datům sledovaných lidí.
Součástí odhalených dat byla i administrátorská identita. Jednalo se o vývojáře jménem Omar Soca Charcov, jehož telefonní číslo a e-mailová adresa byly rovněž zveřejněny. Webová služba hostující API sice účet zablokovala, ale provozovatel jej rychle přesunul jinam.
Google zareagoval, ale databáze dál běží
Google přidal do služby Play Protect upozornění, které varuje uživatele před přítomností Catwatchful v zařízení. Samotná Firebase databáze ale zůstává aktivní, zatímco Google zkoumá, jestli neporušuje jeho podmínky.
Catwatchful dál běží, ačkoliv se maskuje jako systémová aplikace, existují zadní vrátka. Kdo zadá na sledovaném zařízení číslo „543210“ a stiskne volání, může aplikaci odhalit a smazat.
Stalkerware, který si pod sebou podřízl větev
Na rozdíl od mnoha jiných podobných nástrojů Catwatchful nevyužívá externí infrastrukturu. Všechno běží na vlastních serverech. I to se ale ukázalo jako slabina. Chyba v PHP API otevřela dveře všem.
Tento případ ukazuje, že ani ty nejskrytější sledovací aplikace nejsou neprůstřelné. A že někdy nepotřebujete hackera na druhé straně, stačí jen chybný kód v postranním panelu.