Уязвимость в популярных программах для слежки expose телефонные данные миллионов человек

Известные приложения-шпионы Cocospy и Spyic выявили утечку конфиденциальной информации. Разработчики не отвечают на обращения, а ошибки до сих пор остаются непропатченными. Фотографии, сообщения, журналы звонков и другие данные миллионов пользователей могут быть доступны онлайн.

Приложения-шпионы, также известные как "супружеские шпионы", устанавливаются скрытно на мобильных устройствах партнеров или детей. Эти приложения позиционируются как легальные средства мониторинга, но фактически функционируют в серой зоне и не разрешены на крупных маркетплейсах, таких как App Store или Play Store.

Кибербезопасный исследователь недавно проанализировал Cocospy и Spyic — две популярные программы для шпионажа, код которых имеет значительное сходство. Это позволило вытянуть конфиденциальную информацию с их серверов.

ТехCrunch первым сообщил об этой уязвимости, отметив, что "ошибка была относительно простой в эксплуатации". Однако для защиты жертв было решено не раскрывать подробности на данном этапе.

Чтобы установить шпионское приложение на устройство другого человека, пользователю сначала нужно зарегистрировать аккаунт с помощью электронной почты. Исследователь смог извлечь 1,81 миллиона адресов электронной почты, использованных для регистрации в Cocospy, и около 880 тысяч адресов для Spyic.

Кроме адресов электронной почты, исследователю удалось получить доступ к большинству данных, собранным этими приложениями, включая фотографии, сообщения и журналы звонков. По своей природе эти приложения заставляют разработчиков стремиться оставаться скрытыми и недоступными.

TechCrunch предположил, что разработчики скорее всего имеют китайское происхождение, хотя нельзя с уверенностью сказать — есть некоторые свидетельства того, что разработчик может быть 711.icu, но сайт этого домена не загружается. Операторы не отвечают на запросы СМИ и до настоящего момента не прокомментировали эти уязвимости.

Важно отметить, что из-за этих проблем оба приложения могут представлять значительную опасность для пользователей, чья персональная информация может быть похищена злоумышленниками.