Как утекают данные из шпионских приложений

в 12:28, , рубрики: взлом, информационная безопасность, утечки данных

Огромное количество различного ПО, собирающего все, до чего могут дотянуться руки разработчиков, порождает реальную проблему (помимо прочих этических и юридических проблем) сохранности собранных данных. Очень часто данные просто лежат в открытом виде, так как разработчики приложений-шпионов так увлечены их сбором, что им некогда думать об их безопасном хранении.

Например, приложение TeenSafe, предназначенное для слежения за «детскими» айфонами, хранило адреса электронной почты и текстовые пароли Apple ID пользователей в общедоступном облаке Amazon. TeenSafe использовало два облачных сервера AWS (Amazon S3) для хранения базы данных с адресами электронной почты родителей и детей (адреса, привязанные к Apple ID устройства, на котором установлено приложение), именами и идентификаторами устройств, а также текстовыми паролями к учетной записи Apple ID ребенка. Всего в базе было 10200 записей. Самое деликатное в этом моменте то, что TeenSafe требует отключить двухфакторную аутентификацию для Apple ID устройства, на котором приложение будет использоваться.

А компания Spyfone, продающая приложения для слежки за телефонами на базе iOS и Android, оставила терабайты данных, включая СМС, аудиозаписи звонков, контакты и текстовые сообщения в Facebook в открытом доступе на некорректно настроенном сервере Amazon S3 (AWS). На момент обнаружения в базе было 3666 отслеживаемых телефона и 2208 клиентов. Кроме того, Spyfone оставила незащищенной одну из функций в своем API, позволяя любому просматривать список клиентов.

Отдельная проблема — безопасность серверов, где хранятся данные таких приложений. Например, неизвестный хакер взломал сервера компании TheTruthSpy, также выпускающей приложения под iOS и Android для слежки за владельцами смартфонов. Он смог получить доступ к логинам, паролям, фотографиям, аудиозвонкам, СМС, геолокационным данным, чатам и другим данным, перехваченным на телефонах с установленным ПО TheTruthSpy. Всего было затронуто более 10 тыс. учетных записей клиентов. Автор взлома утверждает, что взломать TheTruthSpy он смог после исследования кода приложения для Android, в котором обнаружились некоторые уязвимости. В частности, сервер TheTruthSpy возвращал логин и пароль учетной записи в открытом виде в ответ на засылку ему идентификатора клиента.

Другой хакер смог получить доступ к серверу Family Orbit на площадке Rackspace и скачать 281 гигабайт фото- и видеоматериалов, собранных программой-шпионом. Family Orbit — очередное приложение, призванное следить за «детскими» смартфонами. Как и в случае с TheTruthSpy, в приложении Family Orbit обнаружилась ошибка, позволившая без особого труда получить доступ к серверу. Ключ доступа к облачному серверу был «зашит» прямо в самом приложении, хоть и в зашифрованном виде.

Ну и венец истории — случай с бывшим сотрудником израильской компании NSO Group, производящей инструментарий для извлечения данных из смартфонов, который пытался продать украденный код компании на черном рынке за $50 млн. Тут я, как сотрудник компании, выпускающей DLP-системы, должен был закричать «используйте DLP-системы», но нет. Тут вообще ничто не поможет. Просто когда доверяете какому-то приложению чувствительную информацию, особенно о детях, помните, что оно может ее хранить практически «на балконе».

Автор: nberko

Источник

* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js