Catwatchful adlı gizli bir Android casus yazılım operasyonundaki bir güvenlik açığı, yöneticisi de dahil olmak üzere binlerce müşterisinin bilgilerini ifşa etti. Güvenlik araştırmacısı Eric Daigle tarafından keşfedilen hata, casus yazılım uygulamasının Catwatchful müşterilerinin kurbanlarının telefonlarından çalınan verilere erişmek için kullandığı e-posta adresleri ve düz metin parolalarından oluşan tam veritabanını sızdırdı.
Telefonlarda takip yazılımı ile kameralara erişildi
Catwatchful, “görünmez ve tespit edilemez” olduğunu iddia eden ve kurbanın telefonunun özel içeriklerini uygulamayı yerleştiren kişi tarafından görülebilen bir panoya yükleyen bir çocuk izleme uygulaması kılığında casus yazılımı. Çalınan veriler arasında kurbanların fotoğrafları, mesajları ve gerçek zamanlı konum verileri yer alıyor. Uygulama ayrıca telefonun mikrofonundan gelen canlı ortam sesine uzaktan erişebilir ve hem ön hem de arka telefon kameralarına erişebilir.
Catwatchful gibi casus yazılım uygulamaları uygulama mağazalarından yasaklandı ve bir kişinin telefonuna fiziksel erişimi olan biri tarafından indirilip yerleştirilmesine güveniyor. Bu nedenle, bu uygulamalar eşlerin ve romantik partnerlerin rızası olmadan gözetlenmesini kolaylaştırma eğilimleri nedeniyle genellikle “takip yazılımı” (veya eş yazılımı) olarak adlandırılır ve bu yasadışı.
Catwatchful, hacklenen, ihlal edilen veya elde ettikleri verileri başka şekilde ifşa eden artan sayıdaki takip yazılımı operasyonunun son örneğidir ve bu yıl veri sızıntısı yaşayan en az beşinci casus yazılım operasyon. Bu olay, hem ödeme yapan müşterileri hem de şüphesiz kurbanları veri ihlallerine maruz bırakan kötü kodlama ve güvenlik kusurlarına eğilimli olmalarına rağmen tüketici sınıfı casus yazılımların yayılmaya devam ettiğini gösteriyor.
Haziran ayının başından itibaren veritabanının bir kopyasına göre Catwatchful, 62.000’den fazla müşteriye ait e-posta adresleri ve şifreleri ile 26.000 mağdurun cihazlarındaki telefon verilerine sahipti. Ele geçirilen cihazların çoğu Meksika, Kolombiya, Hindistan, Peru, Arjantin, Ekvador ve Bolivya’da bulunuyordu. Veriler, kayıtların bazılarının 2018’e kadar uzandığını gösteriyor. Catwatchful veritabanı ayrıca, Uruguay’da yaşayan bir geliştirici olan casus yazılım operasyonunun yöneticisi Omar Soca Charcov’un kimliğini de ortaya çıkardı.
