Catwatchful: Η διαρροή που ξεγύμνωσε το «αόρατο» Android spyware και τον διαχειριστή του

Μια σοβαρή ευπάθεια στην υποδομή του Catwatchful, ενός spyware για Android που διαφημιζόταν ως «αόρατο» εργαλείο γονικού ελέγχου, οδήγησε σε μαζική διαρροή δεδομένων που εξέθεσε τόσο χιλιάδες πελάτες όσο και τον ίδιο τον διαχειριστή της υπηρεσίας. Ο Καναδός ερευνητής ασφαλείας Eric Daigle εντόπισε ότι το API της εφαρμογής ήταν εντελώς ανοιχτό, χωρίς καμία αυθεντικοποίηση, επιτρέποντας σε οποιονδήποτε να αποκτήσει πρόσβαση στη βάση δεδομένων με email και κωδικούς (σε απλό κείμενο) των χρηστών, καθώς και στα δεδομένα που είχαν κλαπεί από τα θύματα.

Συγκεκριμένα, η διαρροή αποκάλυψε πάνω από 62.000 λογαριασμούς πελατών και τα δεδομένα από 26.000 συσκευές-θύματα, με τις περισσότερες να εντοπίζονται σε Μεξικό, Κολομβία, Ινδία, Περού, Αργεντινή, Εκουαδόρ και Βολιβία. Το Catwatchful λειτουργούσε ως stalkerware: εγκαθίστατο χειροκίνητα στη συσκευή με φυσική πρόσβαση, παραμένοντας αόρατο και στέλνοντας φωτογραφίες, μηνύματα, τοποθεσία, ακόμη και ζωντανό ήχο και εικόνα από το μικρόφωνο και τις κάμερες του κινητού, σε έναν πίνακα ελέγχου προσβάσιμο από τον δράστη.

Η διαρροή δεν εξέθεσε μόνο τα θύματα, αλλά και τον ίδιο τον διαχειριστή της υπηρεσίας. Ο Omar Soca Charcov, προγραμματιστής από την Ουρουγουάη, ταυτοποιήθηκε μέσω στοιχείων που βρέθηκαν στην πρώτη εγγραφή της βάσης δεδομένων, συμπεριλαμβανομένου προσωπικού email, τηλεφώνου και του Firebase instance που φιλοξενούσε τα δεδομένα. Το ίδιο email εμφανιζόταν και στο LinkedIn προφίλ του, ενώ είχε ορίσει το admin email του Catwatchful ως email ανάκτησης για τον προσωπικό του λογαριασμό, συνδέοντας απευθείας την ταυτότητά του με τη λειτουργία του spyware.

Η υποδομή του Catwatchful στηριζόταν σε Google Firebase για τη φιλοξενία των κλεμμένων δεδομένων, ενώ η Google, μετά την ενημέρωση από τους ερευνητές, προσέθεσε το Catwatchful στη λίστα ανίχνευσης του Play Protect, ώστε να προειδοποιεί τους χρήστες Android για την παρουσία του app ή του installer στη συσκευή τους. Παράλληλα, η Google διερευνά αν η λειτουργία του Catwatchful παραβιάζει τους όρους χρήσης του Firebase, ωστόσο μέχρι στιγμής η βάση δεδομένων παραμένει ενεργή.

Για όσους ανησυχούν ότι μπορεί να έχουν πέσει θύματα, το Catwatchful μπορεί να αποκαλυφθεί αν πληκτρολογήσετε «543210» στο dialer της συσκευής και πατήσετε κλήση. Αυτό ενεργοποιεί ένα backdoor που εμφανίζει την εφαρμογή, επιτρέποντας την απεγκατάσταση. Η διαδικασία εντοπισμού ή αφαίρεσης του Catwatchful μπορεί να γίνει αντιληπτή από το άτομο που το εγκατέστησε, καθώς πιθανόν θα σταματήσει να λαμβάνει δεδομένα από τη συσκευή. Γι’ αυτό, πριν προχωρήσετε σε οποιαδήποτε ενέργεια, προσέξτε για τυχόν αντίποινα και να είστε κατάλληλα προετοιμασμένοι, ακολουθώντας οδηγίες ασφαλείας ή συμβουλές ειδικών αν χρειάζεται.

Το περιστατικό του Catwatchful αποτελεί ακόμη ένα παράδειγμα του πόσο επικίνδυνα και ερασιτεχνικά παραμένουν τα περισσότερα stalkerware apps, εκθέτοντας ταυτόχρονα θύματα και πελάτες σε μαζικές διαρροές προσωπικών δεδομένων, ενώ συχνά αποκαλύπτουν και τους ίδιους τους δημιουργούς τους λόγω κακής ασφάλειας και αμέλειας στη διαχείριση των υποδομών τους