Bezbednosni propust špijunske Android aplikacije Catwatchful kompromitovao je na desetine hiljada njenih korisnika. Propust je otkrio istraživač sajber bezbednosti Erik Dejgl. On je omogućio i pristup čitavoj bazi podataka Catwatchful servisa, uključujući mejl adrese i lozinke u običnom tekstu koje korisnici koriste za prijavu i pregled podataka ukradenih sa telefona svojih žrtava.
Catwatchful se predstavlja kao aplikacija za nadzor dece. U stvarnosti funkcioniše kao špijunski softver koji neprimetno šalje privatne podatke sa telefona. To uključuje fotografije, slike ekrana, poruke i lokaciju u realnom vremenu. Šalje ih na internet nalog osobe koja je aplikaciju instalirala. Aplikacija može da aktivira mikrofon kako bi snimala zvuk uživo, i omogući pristupi prednjoj i zadnjoj kameri bez znanja korisnika.
Ovako prikrivene aplikacije, poznate i kao stalkerware ili spouseware, zabranjene su u zvaničnim prodavnicama aplikacija. Uglavnom mogu da se instaliraju samo, ako neko fizički ima pristup tuđem telefonu. Najčešće se koriste za nezakonito praćenje partnera, bivših partnera ili članova porodice.
Catwatchful je poslednji u nizu primera špijunskih aplikacija čiji su podaci procureli na internet. To je najmanje peta aplikacija ove vrste koja je ove godine doživela bezbednosni incident. To dodatno pokazuje da ovakvi alati, uprkos zabrani i slaboj bezbednosti, i dalje cirkulišu i ugrožavaju i korisnike i njihove žrtve.
Kompromitovano više od 62.000 korisnika
Prema kopiji baze podataka iz juna, u koju je TechCrunch imao uvid, Catwatchful je čuvao podatke više od 62.000 korisnika i 26.000 telefona. Većina kompromitovanih uređaja nalazila se u Meksiku, Kolumbiji, Indiji, Peruu, Argentini, Ekvadoru i Boliviji (navedeno po broju pogođenih žrtava). Deo podataka datira još iz 2018. godine.
Baza podataka otkrila je i identitet osobe koja stoji iza aplikacije – reč je o Omaru Soki Čarkovu, programeru iz Urugvaja. Čarkov nije odgovorio na upite ni na engleskom ni na španskom jeziku. Između ostalog, novinari su ga pitali da li je svestan incidenta i da li planira da o tome obavesti korisnike.
Pošto nema naznaka da će Čarkov obelodaniti ovaj propust, TechCrunch je bazu podataka Catwatchful aplikacije prosledio sajtu Have I Been Pwned, koji služi za obaveštavanje ljudi da su im lični podaci kompromitovani.
Šta se zapravo desilo i šta je Catwatchful
Catwatchful je stalkerware koji je Kaspersky detektovao još 2018. godine, a stručnjaci kompanije sad su se ponovo oglasili u vezi sa ovim slučajem.
Stalkerware i dalje predstavlja globalan i ozbiljan problem. To potvrđuju i najnoviji izveštaji o aplikaciji Catwatchful. Iako se ovakvi proizvodi često predstavljaju kao legitimne aplikacije za roditeljsku kontrolu, oni nose značajne rizike. Funkcionišu prikriveno, instaliraju se bez znanja ili pristanka osobe i omogućavaju počiniocu da u tajnosti nadgleda najprivatnije informacije žrtve.
Štaviše, takve aplikacije, uprkos tvrdnjama njihovih proizvođača o bezbednosti, predstavljaju i rizik po privatnost samih počinilaca. Curenje podataka je česta pojava, što potvrđuju i najnoviji medijski izveštaji.
Iako se navodi da je aplikacija nevidljiva i nemoguće ju je otkriti na telefonu, Kaspersky detektuje Catwatchful još od 2018. Funkcionalnost Ko me špijunira u Kaspersky aplikaciji za Android omogućava korisnicima da dobiju obaveštenje kad je ovaj stalkerware prisutan.
Catwatchful slučaj potvrđuje koliko je važno kontinuirano podizati svest o stalkerware-u i zloupotrebama putem tehnologije. Sve to da bi se pojedinci osnažili znanjem da zaštite svoj digitalni i realan život. Zdrava doza sumnje i opreza su uvek potrebni u onlajn svetu!
