Исследователь обнаружил утечку данных, связанных со сталкерским приложением Spyzie, которое установлено более чем на 500 000 Android-устройств и по меньшей мере 4900 iPhone и iPad. Большинство владельцев взломанных устройств, скорее всего, даже не знают о том, что они скомпрометированы.
Анонимный ИБ-исследователь сообщил изданию TechCrunch, что приложение Spyzie уязвимо перед той же проблемой, которую в прошлом месяце обнаружили в Cocospy и Spyic. Эти два почти идентичных сталкерских приложения, ищеющих одинаковый исходный код и «сливающих» данные о более 2 млн человек. Баг позволяет любому желающему получить доступ к информации со взломанных телефонов, включая сообщения, фотографии и данные о местоположении.
В случае Spyzie уязвимость также раскрывает email-адреса каждого клиента, входившего в Spyzie, чтобы скомпрометировать чужое устройство.
Так как эту уязвимость легко эксплуатировать, издание не раскрывает детали бага, чтобы не помогать злоумышленникам в его эксплуатации и не раскрывать конфиденциальные персональные людей, чьи устройства уже взломаны Cocospy, Spyic и Spyzie.
По словам эксперта, он использовал баг для сбора 518 643 уникальных адресов электронной почты из Spyzie и предоставил кеш email-адресов журналистам TechCrunch и основателю агрегатора утечек Have I Been Pwned Трою Ханту (Troy Hunt).
Самые ранние данные, полученные со скомпрометированных Spyzie устройств, относятся к концу февраля 2020 года, а самые свежие датированы июлем 2024 года.
Отмечается, что в общей сложности Cocospy, Spyic и Spyzie используются более чем 3 млн клиентов.
Зачастую подобное ПО рекламируется под видом легальных решений для осуществления родительского контроля или контроля за сотрудниками, предназначенного для устройств на базе Android, iOS, macOS и Windows.
Хотя предполагается, что приложение должно использоваться в законных целях, в реальности оно применяется как спайварь, то есть используется для слежки за людьми в режиме реального времени, обычно без их ведома и согласия. Также подобные приложения часто называют сталкерскими (stalkerware), поскольку их часто применяют для слежки за партнерами (тоже без согласия и разрешения последних).
Обычно такие приложения незаметны на главном экране скомпрометированного устройства, что затрудняет их обнаружение жертвой. При этом приложения постоянно выгружают содержимое устройства на свои серверы, где информация становится доступной клиенту, то есть тому, кто исходно установил приложение на чужой телефон.
По подсчетам журналистов, Spyzie — это уже 24-е сталкерское приложение с 2017 года, которое было взломано или случайно раскрыло конфиденциальные данные своих жертв из-за ненадлежащей защиты.
Операторы Cocospy, Spyic и Spyzie не ответили на просьбу TechCrunch о комментарии, и обнаруженная анонимным экспертом уязвимость до сих пор не исправлена.
Журналисты пишут, что проверить, установлено ли на устройстве приложение Spyzie, можно следующим образом.
На Android, даже если Spyzie скрыто от посторонних глаз, можно набрать **001** на клавиатуре устройства и нажать кнопку вызова. Если Spyzie установлено, оно должно появиться на экране. Это встроенная в приложение бэкдор-функция, которая позволяет человеку, установившему приложение на телефон жертвы, восстановить доступ.
На iPhone и iPad Spyzie использует имя пользователя и пароль от учетной записи Apple жертвы для доступа к данным, хранящимся в iCloud. Поэтому пользователю следует убедиться, что у него включена двухфакторная аутентификация, а также проверить и удалить из аккаунта Apple все неизвестные вам устройства.
