תוכנת ריגול שמתחזה לאפליקציה לפיקוח הורי חשפה בטעות את מטרתה האמיתית
חוקר סייבר נתקל במקרה בשם שלא זיהה, וחשף רוגלה למכשירי אנדרואיד שהתחזתה לאפליקציה לגיטימית. על הדרך הוא הצליח לגנוב מהם מידע של 62 אלף משתמשים
אתר Catwatchful, תמונה: צילום מסך
תוכנת ריגול שמתחזה לאפליקציה לפיקוח הורי חשפה בטעות את ייעודה המקורי ואת המידע הפרטי של יותר מ־62 אלף משתמשים. חברת Catwatchful הפעילה רוגלה לאנדרואיד תחת אותו שם, שפועלת במצב נסתר ומציגה את עצמה ככלי לגיטימי להורים מודאגים, ולאחרונה סבלה בעצמה מדלף מידע שחשף כתובות אימייל, סיסמאות ומידע שנגנב ממכשירי הקורבנות בעקבות פרצת אבטחה מביכה בקוד שלה.
על פי הדיווחים, הפרצה התאפשרה באמצעות פרצת SQL injection, שיטה שבה תוקף מזין קוד זדוני במקום פרטים רגילים כמו שם משתמש או סיסמה, ובכך גורם לאתר לחשוף מידע רגיש שלא אמור להיות נגיש. חוקר הסייבר אריק דייגל הצליח לנצל את החולשה ולקבל גישה לפרטים האישיים של עשרות אלפי משתמשים וגם לזהותו של מי שעומד מאחורי הרוגלה.
האפליקציה מוסתרת, הכוונות לא ממש
דייגל גילה את Catwatchful לגמרי במקרה, כשסקר דאטהבייס של שירותי ריגול מוכרים ונתקל בשם שלא היה מוכר לו. אחרי שביצע בדיקה ראשונית והבין שמדובר באפליקציית ריגול מלאה למכשירי אנדרואיד, הוא החליט להיכנס לעובי הקורה.
כשחקר את האתר, גילה כי הרוגלה מתחזה לאפליקציית פיקוח הורי רגילה למדי, אבל שם הסתרת הכוונות מסתיימת. בחלק "השאלות הנפוצות" באתר הוא ראה כי המפתח לא ממש מנסה להסתיר את מטרתו האמיתית. להיפך, הוא הצהיר בגלוי כי "ניתן לעקוב אחרי מכשירים בלי שהמשתמש ידע, האפליקציה בלתי נראית ואינה ניתנת לזיהוי בטלפון. היא פועלת במצב מוסתר וחשאי". ואם זה לא הספיק, הוא החליט להבהיר עד כמה האפליקציה מוסתרת מעיני כל וכתב כי "היא בלתי נראית ובלתי ניתנת לזיהוי. אי אפשר להסיר אותה. אי אפשר לעצור אותה. אי אפשר לסגור אותה. רק מי שהתקין אותה יכול לגשת למידע שהיא אוספת".
בעמוד הראשי של האתר, האפליקציה מוצגת ככלי המאפשר "לראות כל מה שקורה במכשיר בזמן אמת ולשמור על בטיחות ילדכם". עם זאת, הדגש על הסתרה מוחלטת של האפליקציה מהמכשיר בעמוד השאלות, מעורר חשש לשימושים בלתי חוקיים, ובראשם מעקב אחרי בני ובנות זוג ללא ידיעתם.
כל עדכוני ה-IT, תשתית וטכנולוגיה בערוץ הטלגרם של ITtime
על פי הפרסומים, מדובר ברוגלה שפועלת באופן מוסתר: מעלה תמונות, הודעות, מיקומים בזמן אמת, הקלטות חיות מהמיקרופון ואף מפעילה את המצלמות במכשיר וכל זה מבלי שבעל המכשיר יודע שהיא קיימת. האפליקציה אינה זמינה בחנויות הרשמיות ודורשת התקנה ידנית במכשיר הקורבן.
דייגל הסביר כי לפי עותק של מסד הנתונים שהגיע לידיו, Catwatchful הכילה יותר מ־62,000 חשבונות משתמשים ונתונים שנגנבו מ־26,000 מכשירים, רובם במדינות דרום ומרכז אמריקה, בהן מקסיקו, קולומביה, הודו, פרו, ארגנטינה, אקוודור ובוליביה.
אפילו המפתח נחשף
בין הפרטים שנחשפו הייתה גם זהותו של מפתח האפליקציה, עומר סוקה צ'ארקוב מאורוגוואי. כתובת האימייל האישית שלו הופיעה בדאטהבייס, יחד עם כתובת שרת Firebase של גוגל בו אוחסן המידע. כתובת זו תואמת לפרופיל הלינקדאין שלו, שהוסתר לאחר פרסום הדיווח.
לפי TechCrunch, שירות האחסון המקורי סגר את חשבונו של צ'ארקוב לאחר פניית המערכת, אך התשתית הועברה בהמשך לחברת HostGator. במקביל, גוגל עדכנה את מערכת Google Play Protect כך שתזהה ותתריע בפני המשתמשים על קיומה של האפליקציה במכשיריהם.
Catwatchful לא באמת נועדה להגן על ילדים אלא לאפשר מעקב חשאי אחרי אנשים. מדובר במקרה החמישי השנה שבו אפליקציית ריגול מהסוג הזה נחשפת לפרצת אבטחה חמורה. רוגלות שמתחזות לכלי ניטור "לשימוש פרטי" הופכות לתופעה שצוברת תאוצה מדי יום, ומזכירות שאף אחד לא מוגן, אז כדאי שתשמרו טוב על המכשיר שלכם, כי אתם לעולם לא יודעים מה מישהו ינסה להתקין עליו.
