一名安全研究人員發現,一對手機監控應用程式中存在的一個安全漏洞正在使數百萬人的個人數據暴露在不知情的情況下,這些人已經在其設備上不知不覺地安裝了這些應用程式。
這個漏洞允許任何人訪問從任何被Cocospy和Spyic入侵的手機或平板電腦中外泄出來的個人數據 — 包括消息、照片、通話記錄等等。這兩個品牌不同但共享基本相同源代碼的手機stalkerware應用程式Cocospy和Spyic的漏洞還公開了那些打算在某人設備上偷偷監視他們的人的電子郵件地址。
像其他類型的間諜軟件一樣,產品如Cocospy和Spyic設計為在受害者的設備上保持隱藏,同時不斷將他們設備的數據上傳到一個由種植該應用的人可見的控制面板。由於間諜軟件可以是多麼隱秘,大多數手機擁有者很可能沒有意識到他們的設備已經受到侵害。
Cocospy和Spyic的運營商並未回應TechCrunch的請求置評,也未在發布時修復這個漏洞。
這個漏洞相對容易利用。因此,TechCrunch不會公布漏洞的具體細節,以便不幫助不良行為者利用它並進一步暴露那些已經被Cocospy和Spyic入侵的個人的敏感個人數據。
發現這個漏洞的安全研究人員告訴TechCrunch,它允許任何人訪問任何兩個手機監控應用程式的註冊人的電子郵件地址。
通過利用這個漏洞從應用的服務器中爬取數據,研究人員收集了181萬名Cocospy客戶的電子郵件地址和880,167名Spyic客戶的電子郵件地址。研究人員將這批電子郵件地址提供給運行數據泄露通知服務Have I Been Pwned的Troy Hunt。
Hunt告訴TechCrunch,他將共計265萬人次註冊在Cocospy和Spyic上的獨特電子郵件地址加載到Have I Been Pwned上,在刪除了兩批數據中出現的重複電子郵件地址後。Hunt表示,與以往的與間諜軟件相關的數據泄露一樣,Cocospy和Spyic的緩存在Have I Been Pwned中被標記為“敏感”,這意味著只有受影響的電子郵件地址的人可以搜索看看他們的信息是否在其中。
Cocospy和Spyic是近年來出現安全失誤的眾多監控產品中的最新案例,這往往是由於漏洞或糟糕的安全實踐導致的。根據TechCrunch的持續統計,自2017年以來已有23個已知的監控操作被駭客入侵、泄露或以其他方式在線上公開了客戶和受害者的高度敏感數據。
像Cocospy和Spyic這樣的手機監控應用程式通常作爲家長監控或員工監控應用程式出售,但通常被稱爲stalkerware(或配偶監控軟件),因爲其中一些產品明確地在線上宣傳他們的應用程式作爲暗中監視一個人的配偶或戀人的手段,而這是違法的。即使對於不明確銷售為惡意活動的移動監控應用程式,顧客通常仍然將這些應用程式用於明顯非法的目的。
應用商店已禁止stalkerware應用,因此這些應用通常是直接從stalkerware提供者那裏下載的。因此,stalkerware應用通常需要物理接觸某人的Android設備才能種植,通常需要知道受害者的設備密碼。對於iPhone和iPad,stalkerware可以訪問儲存在蘋果的iCloud雲存儲服務中的設備數據,這需要使用其被盜的蘋果帳戶憑據。
與中國有關的Stalkerware
對於這兩個間諜軟件運作的其他信息幾乎一無所知,包括誰在運作Cocospy和Spyic。stalkerware的運營商通常試圖避開公眾注意,因爲運作監控操作帶來的聲譽和法律風險。
Cocospy和Spyic分别於2018年和2019年推出。僅從已註冊用戶數量來看,Cocospy是當今已知的最大stalkerware運作之一。
安全研究人員Vangelis Stykas和Felipe Solferini在2022年的研究項目中分析了幾個stalkerware家族,發現安裝Cocospy和Spyic運作與總部位於中國的手機應用程式開發商711.icu之間的聯繫證據,後者的網站已不再加載。
本週,TechCrunch在虛擬設備上安裝了Cocospy和Spyic應用程式(這允許我們在安全的沙盒中運行應用程式,而不會使任何真實世界數據(如位置)進入兩個間諜服務)。這兩個stalkerware應用程式都偽裝成一個看起來普通的Android“系統服務”應用程式,這樣一來就可以通過與Android內置應用程式混合來逃避檢測。
我們使用網絡分析工具來觀察應用程式中流動的數據,以了解監視軟件的運作方式,分享了哪些數據以及服務器的位置在哪裏。
我們的流量分析發現,該應用程式通過Cloudflare發送我們虛擬設備的數據,Cloudflare是一個網絡安全提供商,可以模糊間諜運作的真實位置和Web主機。但網絡流量顯示,這兩個stalkerware應用程式正在將一些受害者的數據,如照片,上傳到由Amazon Web Services托管的雲存儲服務器。
亞馬遜和Cloudflare都沒有回答TechCrunch有關stalkerware運作的詢問。
分析還顯示,在使用應用程式時,服務器偶爾會以中文回應狀態或錯誤消息,這表明這些應用程式由與中國有關聯的人開發。
如何刪除stalkerware
從Cocospy和Spyic中爬取的電子郵件地址允許種植應用程式的人確定他們的信息(以及他們受害者的數據)是否受到了侵害。但這些數據沒有足夠的可識別信息來通知那些手機已被Cocospy和Spyic入侵的個人。
但是,有一些事情可以做來檢查你的手機是否被Cocospy和Spyic入侵。就像大多數stalkerware一樣,這兩個應用程式都依賴於一個人故意削弱Android設備的安全設置來種植應用程式 — 或者在iPhone和iPad的情況下,使用知道其用戶名和密碼的情況下訪問某人的蘋果帳戶。
即使Cocospy和Spyic試圖通過出現為名為“系統服務”的通用外觀應用程式來隱藏自己,仍然有辦法發現它們。
對於Cocospy和Spyic,你通常可以在Android手機應用程式的鍵盤上輸入✱✱001✱✱,然後按“撥號”按鈕,以使stalkerware應用程式顯示在螢幕上 — 如果它們已安裝。這是Cocospy和Spyic內建的一個功能,允許在受害者設備上種植應用程式的人重新獲得訪問權限。在這種情況下,受害者也可以使用這個功能來確定應用程式是否已安裝。
你還可以通過Android設置菜單中的應用程式菜單來檢查已安裝的應用程式,即使這些應用被隱藏在視圖中。
TechCrunch有一份一般Android間諜軟件刪除指南,可以幫助你識別並刪除常見類型的手機stalkerware。請記住制定安全計劃,因爲關閉間諜軟件可能會警報種植它的人。
對於Android用戶,開啓Google Play Protect是一個有用的防護措施,可保護免受惡意Android應用程式的侵害,包括stalkerware。如果尚未啓用,可以從Google Play的設置菜單啓用它。
如果你是iPhone和iPad用戶並且覺得自己可能已被入侵,請檢查你的蘋果帳戶是否使用長且獨特的密碼(最好保存在密碼管理器中),並且你的帳戶還是否已開啓雙因素驗證。您還應檢查並刪除您不認識的任何設備。
如果您或您認識的人需要幫助,國家家庭暴力熱線(1-800-799-7233)為遭受家庭虐待和暴力的受害者提供24/7免費、保密的支援。如果您處于緊急情況,請致電911。如認為您的手機已被間諜軟件入侵,反Stalkerware聯盟有相關資源。
請通過Signal和WhatsApp與Zack Whittaker安全聯繫,電話號碼+1 646-755-8849。您也可以通過SecureDrop安全地與TechCrunch分享文件。
