Az elbukott, láthatatlan kémapp: a Catwatchful-botrány

Egy kutató, Eric Daigle fedezte fel, hogy a Catwatchful nevű, rejtett telefonfigyelő alkalmazás fejlesztői súlyos biztonsági hibát vétettek: több mint 62 000 felhasználó érzékeny adatai, köztük e-mail-címek és egyszerű szövegben tárolt jelszavak szivárogtak ki. A hiányosságot egy SQL-injekciós támadás tette lehetővé, amellyel bárki hozzáférhetett a felhasználói fiókokhoz és minden bennük tárolt információhoz.

Rejtőzködés és aggasztó célok

A Catwatchful készítői az alkalmazás láthatatlanságát és biztonságát hangsúlyozzák, és azt állítják, hogy a program legális, célja pedig az, hogy a szülők ellenőrizhessék gyermekeik online tevékenységeit. A hangsúly azonban a rejtettségen van: a kémprogram semmilyen módon nem fedezhető fel, nem lehet eltávolítani vagy bezárni, minden információhoz csak a megfigyelő fér hozzá. Ezért komoly aggodalmak merültek fel, hogy a szoftvert más, kevésbé tisztességes célokra is használhatják.

Kiderült a titkos kiskapu

Daigle szerint az alkalmazás valóban észrevétlenül fut a készüléken, miközben folyamatosan, valós időben továbbítja az adatokat egy webes felületre. Ugyanakkor egy rejtett kiiktatási lehetőséget is tartalmaz: a felhasználó az 543210 számsort beírva a telefon billentyűzetén el tudja távolítani azt.

Kellemetlen következmények

A szivárgásból kiderült, kik üzemeltetik a kémappot, sőt néhány együttműködő online szolgáltatót is azonosítani lehetett. A botrány után az alkalmazás infrastruktúráját az egyik webszolgáltató leállította, majd a HostGator nevű szolgáltató vette át a hosztolást. Több szolgáltató vizsgálja, hogy a Catwatchful megsérti-e a szabályzataikat. Eközben a Google is lépett: új védelmi lehetőségeket adott a Google Play Protecthez, amely már felismeri és blokkolja a Catwatchful kémprogramot az androidos készülékeken.

2025, adrienne, arstechnica.com alapján

Share on Social Media