يكشف خرق البيانات عن “أدوات المطار

إن ثغرة أمنية في عملية برامج تجسس أندرويد خلسة تسمى Catwatchful قد كشفت الآلاف من عملائها ، بما في ذلك مسؤولها.

قامت Bug ، التي اكتشفها باحث الأمن Eric Daigle ، بسكب قاعدة البيانات الكاملة لتطبيق Spyware لعناوين البريد الإلكتروني وكلمات مرور النص العادي الذي يستخدمه العملاء المفعولون للوصول إلى البيانات المسروقة من هواتف ضحاياهم.

Catwatchful هو تنكر برامج التجسس كتطبيق مراقبة الطفل الذي يدعي أنه “غير مرئي ولا يمكن اكتشافه” ، وكل ذلك أثناء تحميل محتويات هاتف الضحية الخاصة إلى لوحة معلومات يمكن عرضها من قبل الشخص الذي زرع التطبيق. تتضمن البيانات المسروقة صور الضحايا والرسائل وبيانات الموقع في الوقت الفعلي. يمكن للتطبيق أيضًا الاستفادة عن بُعد في الصوت المحيط المباشر من ميكروفون الهاتف والوصول إلى كاميرات الهاتف الأمامي والخلفي.

يتم حظر تطبيقات برامج التجسس مثل Catwatchful من متاجر التطبيقات والاعتماد على تنزيلها وزرعها من قبل شخص لديه وصول مادي إلى هاتف الشخص. على هذا النحو ، يشار عادةً إلى هذه التطبيقات باسم “أدوات المطاردة” (أو الموسعة) لميلها لتسهيل المراقبة غير التوثيدية للأزواج والشركاء الرومانسيين ، وهو أمر غير قانوني.

يعد Catwatchful هو أحدث مثال في قائمة متزايدة من عمليات المطارد التي تم اختراقها أو خرقها أو تعرضها بطريقة أخرى ، وهي على الأقل عملية برامج التجسس الخامسة هذا العام لتجربة انسكاب بيانات. يوضح الحادث أن برامج التجسس على مستوى المستهلك لا تزال تتكاثر ، على الرغم من كونها عرضة للترميز الرديء والأمان التي تعرض كلا من العملاء والضحايا المطمئنين إلى انتهاكات البيانات.

وفقًا لنسخة من قاعدة البيانات من أوائل يونيو ، والتي شهدتها TechCrunch ، كان لدى Catwatchfl عناوين البريد الإلكتروني وكلمات المرور على أكثر من 62000 عميل وبيانات الهاتف من 26000 جهاز ضحية.

كانت معظم الأجهزة التي تم اختراقها في المكسيك وكولومبيا والهند وبيرو والأرجنتين والإكوادور وبوليفيا (حسب عدد الضحايا). تعود بعض السجلات إلى عام 2018 ، كما تظهر البيانات.

كشفت قاعدة بيانات Catwatchful أيضًا عن هوية مسؤول عملية برامج التجسس ، عمر Soca Charcov ، وهو مطور في أوروغواي. افتتح Charcov رسائل البريد الإلكتروني لدينا ، لكنه لم يرد على طلباتنا للتعليق المرسلة باللغتين الإنجليزية والإسبانية. سأل TechCrunch عما إذا كان على دراية بخرق البيانات المذهلة ، وإذا كان يعتزم الكشف عن الحادث لعملائه.

دون أي إشارة واضحة إلى أن Charcov سوف يكشف عن الحادث ، قدمت TechCrunch نسخة من قاعدة البيانات المثيرة للاصطدام لخدمة إخطار خرق البيانات.

CATWANDATHING استضافة بيانات برامج التجسس على خوادم Google

قام Daigle ، باحث أمن في كندا بالتحقيق سابقًا في انتهاكات أدوات المطالب ، توضيح نتائجه في منشور مدونة.

وفقًا لـ Daigle ، يستخدم Catwatchful واجهة برمجة تطبيقات مصنوعة خصيصًا ، والتي يعتمد عليها كل واحد من تطبيقات Android المزروعة للتواصل مع البيانات إلى خوادم Catwatchful. يستخدم برنامج Spyware أيضًا Firebase من Google ، وهو منصة لتطوير الويب والهواتف المحمولة ، لاستضافة وتخزين بيانات الهاتف المسروقة للضحية ، بما في ذلك صورها وتسجيلات الصوت المحيطة.

أخبر Daigle TechCrunch أن واجهة برمجة التطبيقات لم تكن مصادفة ، مما يسمح لأي شخص على الإنترنت بالتفاعل مع قاعدة بيانات المستخدمين المهددين دون الحاجة إلى تسجيل دخول ، والتي كشفت عن قاعدة بيانات Catwatchful بأكملها لعناوين البريد الإلكتروني وكلمات المرور.

عند الاتصال بـ TechCrunch ، أوقفت شركة الويب التي تستضيف واجهة برمجة تطبيقات Catwatchful حساب مطور برامج التجسس ، وتمنع لفترة وجيزة برامج التجسس من التشغيل ، لكن واجهة برمجة التطبيقات عادت لاحقًا إلى Hostgator. لم يستجب متحدث باسم Hostgator ، كريستين أندروز ، لطلبات التعليق بشأن الشركة التي تستضيف عمليات Spyware.

أكد TechCrunch أن Catwatchful يستخدم Firebase من خلال تنزيل وتثبيت برامج التجسس المملوءة على جهاز Android الظاهري ، والذي يتيح لنا تشغيل برامج التجسس في صندوق رمل معزول دون إعطائه أي بيانات حقيقية ، مثل موقعنا.

قمنا بفحص حركة مرور الشبكة التي تتدفق داخل وخارج الجهاز ، والتي أظهرت بيانات من تحميل الهاتف إلى مثيل Firebase محدد يستخدمه Catwatchful لاستضافة بيانات الضحية المسروقة.

بعد أن زودت TechCrunch Google بنسخ من البرامج الضارة Catwatchful ، قالت Google إنها أضافت حماية جديدة لـ Google Play Protect ، وهي أداة أمان تقوم بمسح هواتف Android للتطبيقات الضارة ، مثل برامج التجسس. الآن ، ستنبه Google Play Protect المستخدمين عندما يكتشف برامج التجسس المهدئة أو المثبت على هاتف المستخدم.

كما زودت TechCrunch Google بتفاصيل عن مثيل Firebase الذي ينطوي على تخزين البيانات للتشغيل المهدئ. وردا على سؤال حول ما إذا كانت عملية المطالب تنتهك شروط خدمة Firebase ، أخبرت Google TechCrunch في 25 يونيو أنها كانت تحقق ولكنها لن تلتزم على الفور بإنزال العملية.

وقال إد فيرنانديز ، المتحدث باسم Google: “يجب أن تلتزم جميع التطبيقات التي تستخدم منتجات Firebase بشروط الخدمة والسياسات الخاصة بنا. نحن نتحقق من هذه المشكلة بالذات ، وإذا وجدنا أن التطبيق في انتهاك ، فسيتم اتخاذ الإجراءات المناسبة. مستخدمي Android الذين يحاولون تثبيت هذه التطبيقات محمية بحماية Google Play”.

اعتبارًا من النشر ، لا يزال هناك بقايا مفعمة بالحيوية على قاعدة Firebase.

يعرض خطأ OPSEC مسؤول برامج التجسس

مثل العديد من عمليات برامج التجسس ، لا تُدرج Catwatchful علنًا مالكها أو الكشف عن من يدير العملية. ليس من غير المألوف بالنسبة لمشغلي المطاردات وبرامج التجسس إخفاء هوياتهم الحقيقية ، بالنظر إلى المخاطر القانونية والسمعة المرتبطة بتسهيل المراقبة غير القانونية.

لكن حادث أمان تشغيلي في مجموعة البيانات كشفت شاركوف كمسؤول للعملية.

تسرد مراجعة قاعدة بيانات Catwatchful Charcov كأول سجل في أحد الملفات في مجموعة البيانات. (في انتهاكات البيانات المتعلقة برامج التجسس السابقة ، تم تحديد بعض المشغلين من خلال السجلات المبكرة في قاعدة البيانات ، في كثير من الأحيان يقوم المطورون باختبار منتج برامج التجسس على أجهزتهم الخاصة.)

تضمنت مجموعة البيانات الاسم الكامل لـ Charcov ورقم الهاتف وعنوان الويب الخاص بمثيل Firebase المحدد حيث يتم تخزين قاعدة بيانات Catwatchful على خوادم Google.

عنوان البريد الإلكتروني الشخصي لشاركوف ، الموجود في مجموعة البيانات ، هو نفس البريد الإلكتروني الذي يسرده على صفحة LinkedIn الخاصة به ، والتي تم تعيينها منذ ذلك الحين على خاص. قام Charcov أيضًا بتكوين عنوان بريده الإلكتروني الخاص بمسؤوله المتقدم باعتباره عنوان استرداد كلمة المرور على حساب البريد الإلكتروني الشخصي الخاص به في حالة حبسه ، والذي يربط Charcov مباشرة بالعملية المثيرة للمراقبة.

كيفية إزالة برامج التجسس المشتركة

على الرغم من أن الادعاءات المشتركة “لا يمكن إلغاء تثبيتها” ، فهناك طرق للكشف عن التطبيق وإزالته من جهاز متأثر.

قبل أن تبدأ ، من المهم أن يكون لديك خطة أمان في مكانها ، حيث يمكن أن يؤدي تعطيل برامج التجسس إلى تنبيه الشخص الذي زرعها. يقوم التحالف ضد Stalkerware بعمل مهم في هذا المجال ولديه موارد لمساعدة الضحايا والناجين.

يمكن لمستخدمي Android اكتشاف CASTWANDING ، حتى لو كان مخفيًا عن العرض ، عن طريق الاتصال بالاتصال 543210 في لوحة مفاتيح تطبيق Android Phone الخاصة بك ، ثم ضرب زر الاتصال. إذا تم تثبيت Catwatchful ، فيجب أن يظهر التطبيق على شاشتك. هذا الرمز هو ميزة Backdoor مدمجة تسمح لمن قام بزراعة التطبيق لاستعادة الوصول إلى الإعدادات بمجرد إخفاء التطبيق. يمكن أيضًا استخدام هذا الرمز من قبل أي شخص لمعرفة ما إذا كان التطبيق مثبتًا.

بالنسبة لإزالة التطبيق ، لدى TechCrunch دليلًا عامًا لإزالة برامج التجسس Android التي يمكن أن تساعدك في تحديد الأنواع الشائعة من أدوات مطارد الهاتف وإزالتها ، ثم تمكين الإعدادات المختلفة التي تحتاجها لتأمين جهاز Android الخاص بك.

–

إذا كنت أنت أو أي شخص تعرفه بحاجة إلى مساعدة ، فإن الخط الساخن للعنف الوطني (1-800-799-7233) يوفر دعمًا حرًا على مدار الساعة طوال أيام الأسبوع لضحايا الإساءة المنزلية والعنف. إذا كنت في حالة الطوارئ ، اتصل بالرقم 911. التحالف ضد أدوات المطارد لديه موارد إذا كنت تعتقد أن هاتفك قد تعرض للخطر بواسطة برامج التجسس.