Polska aplikacja zbierała dane z telefonów, w tym historię rozmów i SMS-y. Teraz te dane są w sieci… razem z danymi jej autorów.
Mowa o aplikacji Let Me Spy, według twórców służącej do kontroli rodzicielskiej, kontroli pracowników albo znajdowania własnego telefonu, gdyby został zagubiony. Nie znajdziesz jej w Google Play, bo jej działanie jest, lekko mówiąc, podejrzane. Nie jest to malware w takim sensie, że robi coś bez wiedzy użytkownika. Przeciwnie – trzeba ją samemu zainstalować na swoim (sic!) lub czyimś smartfonie z Androidem. Czy to będzie miało miejsce za zgodą tej osoby, czy bez jej wiedzy, to już zupełnie inna sprawa.
Let Me Spy robi dokładnie to, co sugeruje nazwa – szpieguje. Po zainstalowaniu na smartfonie (własnym albo cudzym) wysyła na serwery treść SMS-ów, historię rozmów oraz lokalizację. Osoba kontrolująca aplikację może je przeglądać po zalogowaniu na swoje konto. Brzmi… wątpliwie, prawda? Korzystanie z tej aplikacji do kontroli rodzicielskiej czy pracowników to poważne naruszenie prywatności i podpada pod paragraf. Korzystanie z niej na własnym smartfonie to brak instynktu samozachowawczego.
Android ma wbudowane etyczne narzędzia do kontroli rodzicielskiej, a w Google Play nie brak renomowanych aplikacji zabezpieczających dla firm. Mimo tego takie apki jak Let Me Spy znajdują swoich amatorów. Czemu? Bo pozwala na więcej. Z jej użyciem można poznać treść całych rozmów, jeśli odbywała się za pośrednictwem SMS-ów. Można dowiedzieć się, kto dzwoni i jak długo trwają rozmowy oraz gdzie przebywa śledzona osoba. W FAQ na stronie aplikacji znajduje się nawet instrukcja, jak ukryć jej ikonę. Domyślasz się pewnie, że chodzi o schowanie apki przed właścicielem telefonu, który wcale nie ma ochoty być śledzony.
Korespondencja i lokalizacja trafią nie tylko do osoby instalującej aplikację, ale też na serwery jej twórców. Ci kasują od 6 dolarów miesięcznie za przechowywanie od 20 ostatnich połączeń, 20 ostatnich SMS-ów i 20 ostatnich lokalizacji. Co jeszcze robili z tymi danymi?
Nie wiadomo, ale teraz plik z nimi krąży po sieci pod nazwą jaki_kraj_taki_finfisher. To nawiązanie do niezwykle trudnego do wykrycia oprogramowania szpiegującego, używanego przynajmniej od 2012 roku na zlecenie rządów. Plik zawiera:
Kolorytu sytuacji dodaje korespondencja z Niebezpiecznikiem. Redakcja portalu zapytała oczywiście autorów aplikacji, czyli firmę Radeal Sp. z o.o., co zamierzają zrobić dalej. Wypadałoby na przykład powiadomić osoby śledzone, że ich SMS-y czytają teraz bywalcy forów o cyberbezpieczeństwie. Tylko jak to zrobić, skoro osoba ta potencjalnie nie ma pojęcia o aplikacji Let Me Spy na swoim smartfonie? Robi się gęsto, w powietrzu wiszą awantury i rozwody.
Zanim Radeal zdążył zareagować, odezwała się osoba prawdopodobnie odpowiedzialna za włam. Niebezpiecznikowi przekazała, co było wektorem ataku i jak udało się uzyskać dane w postaci tekstowej:
SQL injection w loginie do API. Tresci SMS i numery telefonow w bazie danych byly zaszyfrowane, ale zmienilam user_id na swoje i plaintext wszystkich wiadomosci i numerow byl widoczny w przegladarce.
Ta sama osoba poinformowała również, że „wszystkie bazy zostały usunięte”. Widocznie włamanie nie obejmowało jedynie wykradnięcia bazy danych, ale też dostęp do poczty i systemów Let Me Spy. Motywacja nie jest znana, ale autorom aplikacji na pewno należało się takie wirtualne lanie.
W imieniu firmy Radeal Niebezpiecznikowi odpisał pan Rafał Lidwin. Nie odpowiedział na zadane pytania. Powiadomił jedynie, że sprawa została zgłoszona Policji i że firma gromadzi dowody obciążające odpowiedzialnych za atak. Funkcje serwisu zostały zaś tymczasowo zawieszone. Nic dziwnego, jeśli rzeczywiście kasowanie bazy było częścią włamania.
Jeśli masz podejrzenie, że i na Twoim smartfonie znalazła się taka aplikacja, wejdź do ustawień i przejrzyj listę zainstalowanych apek. Ikonę aplikacji można ukryć, ale na tej liście już się nie schowa. Możesz też przywrócić smartfon do ustawień fabrycznych, jeśli nadal masz obawy. Przede wszystkim jednak ustaw hasło, odcisk palca albo jakiekolwiek inne zabezpieczenie i nie pozwalaj, by inni grzebali na Twoim telefonie. To miejsce, do którego nawet najbliższe Ci osoby mają zakaz wstępu.
Jeśli zaś potrzebujesz kontroli rodzicielskiej, skorzystaj z Google Family Link. Masz to za darmo i bez ryzyka, że podpadniesz pod paragraf.
Źródło zdjęć: adage
Źródło tekstu: Niebezpiecznik, oprac. własne