Sigurnosna ranjivost u tajnom Android spywareu nazvanom Catwatchful otkrila je podatke tisuća korisnika, uključujući i administratora. Ranjivost, koju je otkrio istraživač sigurnosti Eric Daigle, omogućila je curenje pune baze podataka e-mail adresa i lozinki u običnom tekstu koje korisnici Catwatchfula koriste za pristup podacima ukradenim s telefona njihovih žrtava.
Catwatchful je spyware koji se pretvara da je aplikacija za praćenje djece, a tvrdi da je “nevidljiv i nedetektabilan”, dok istovremeno učitava privatne sadržaje žrtvinih telefona na nadzornu ploču koju može vidjeti osoba koja je postavila aplikaciju. Ukradeni podaci uključuju fotografije, poruke i podatke o stvarnom vremenu lokacije žrtava. Aplikacija također može daljinski snimati ambijentalni zvuk putem mikrofona telefona i pristupati prednjoj i stražnjoj kameri telefona.
Spyware aplikacije poput Catwatchfula zabranjene su u trgovinama aplikacijama i ovise o tome da ih netko s fizičkim pristupom telefonu preuzme i instalira. Takve aplikacije često nazivamo “stalkerware” (ili spouseware) zbog njihove sklonosti olakšavanju nadzora koji nije dao suglasnost, što je protuzakonito.
Catwatchful je najnoviji primjer sve većeg broja stalkerware operacija koje su hakeri napali, provalili ili na drugi način otkrili podatke koje prikupljaju, a barem je peta spyware operacija ove godine koja je doživjela curenje podataka. Incident pokazuje da se spyware za potrošače i dalje širi, unatoč sklonošću lošem kodiranju i sigurnosnim propustima koji izlažu i plaćene korisnike i nesvjesne žrtve curenjima podataka.
Prema kopiji baze podataka iz lipnja, koju je vidio TechCrunch, Catwatchful je imao e-mail adrese i lozinke više od 62.000 korisnika i podatke s telefona 26.000 žrtava. Većina kompromitiranih uređaja nalazila se u Meksiku, Kolumbiji, Indiji, Peruu, Argentini, Ekvadoru i Boliviji (redom prema broju žrtava). Neki od zapisa datiraju još od 2018. godine.
Baza podataka Catwatchful također je otkrila identitet administratora spyware operacije, Omara Soca Charcova, programera iz Urugvaja. Charcov je otvorio naše e-mailove, ali nije odgovorio na naše zahtjeve za komentar poslane na engleskom i španjolskom jeziku. TechCrunch je pitao je li svjestan curenja podataka Catwatchfula i planira li obavijestiti svoje korisnike o incidentu.
Bez ikakvih jasnih naznaka da će Charcov otkriti incident, TechCrunch je dao kopiju baze podataka Catwatchfulu usluzi za obavještavanje o provalama podataka Have I Been Pwned.
