A Catwatchful nevű spyware többezer telefont fertőzött meg – elmondjuk mit tehetsz ellene

Olvasási idő: 4 perc

Catwatchful kémprogram adatvédelmi incidens

Dátum: 2025. július 3. Tárgy: Súlyos adatvédelmi incidens a Catwatchful kémprogrammal kapcsolatban

1. Áttekintés és főbb megállapítások:

A “Catwatchful” nevű Android kémprogram, amelyet eredetileg gyermekmegfigyelő eszközként álcáztak, súlyos adatvédelmi incidens forrása lett. Eric Daigle biztonsági kutató leleplezte, hogy az alkalmazás több tízezer felhasználót és áldozatot érintő adatlopást hajtott végre. A fő megállapítások a következők:

• Adatlopás mértéke: 62 000 felhasználó teljes adatbázisa (beleértve a titkosítatlan jelszavakat és e-mail címeket) került kiszivárogtatásra, emellett 26 000 áldozat telefonadatai (üzenetek, fényképek, helymeghatározás, mikrofon- és kamerafelvételek) is veszélybe kerültek.
• Működésmód: A kémprogram “lopakodó módban” fut, rejtve a felhasználók elől, és gyűjti, majd feltölti az információkat.
• Terjesztés: A Catwatchful nem a Google Play Áruházon keresztül terjed, hanem “sideloading” eljárással, fizikai telepítést igényel a készülékre. Ez tipikus a “stalkerware” alkalmazásokra.
• Fejlesztő leleplezése: Az alkalmazás adminisztrátora, az uruguayi Omar Soca Charcov, lelepleződött, mivel ugyanazt az e-mail címet használta a Catwatchwatch-hoz, amelyet a LinkedIn-en is. Daigle felfedezte, hogy Charcov adminisztrátori fiókja volt az első rekord a feltört adatbázisban, a jelszó-helyreállítás pedig a személyes e-mail címéhez volt rendelve.
• Adattárolás és sebezhetőség: Az adatok a Google Firebase-ben voltak tárolva, és egy egyedi, hitelesítés nélküli API-n keresztül továbbították őket, ami nyílt hozzáférést biztosított a felhasználói és áldozati adatokhoz. A sebezhetőség forrása az API volt, nem maga a Firebase.
• Google reakciója: Bár az alkalmazás nem a Play Áruházban terjed, a Google értesítést kapott az incidensről, és hozzáadta a Catwatchful-t a Google Play Protect figyelmeztetéseihez, hogy figyelmeztesse a felhasználókat.

2. Kulcsfontosságú témák és idézetek:

• Adatvédelmi kockázat és adatlopás mértéke:
• “A Catwatchful adatvédelmi incidens 62 000 áldozatot érint, ebből 26 000 áldozat telefonadatait.”
• “Egy teljes felhasználói adatbázis titkosítatlan jelszavakkal és e-mail címekkel, több mint 62 000 felhasználót érintően, szivárgott ki ennek eredményeként, és olyan telefonadatok, mint az üzenetek, fényképek, helymeghatározás, mikrofon- és kamerafelvételek is 26 000 áldozatot sodornak veszélybe.”
• “Ez a veszélyes új malware iOS és Android telefonokat egyaránt érint – és még fényképeket és kriptovalutát is lop.” (Bár a forrás az iOS-re utal, a konkrét incidens az Androidra vonatkozott).
• A kémprogram működése és a “stalkerware” jellege:
• “A jelentés szerint a kémprogram applikáció lopakodó módban fut, rejtve a felhasználók elől, információkat gyűjtve és feltöltve.”
• “Ahogy az a hasonló stalkerware esetében tipikus, a Catwatchful egy olyan alkalmazás, amely a Play Áruházon kívül működik, fizikai telepítést igényel egy sideloading néven ismert eljárással.”
• A fejlesztő azonosítása és a sebezhetőség forrása:
• “Az alkalmazás adminisztrátora, az uruguayi fejlesztő, Omar Soca Charcov, lelepleződött, mert a Catwatchwatch-hoz használt e-mail címét a LinkedIn-en is újra felhasználta.”
• “Daigle azt is megjegyezte, hogy Charcov adminisztrátori fiókja volt az első rekord a feltört adatbázisban, a jelszó-helyreállítás pedig a személyes e-mail címéhez volt rendelve.”
• “Az adatok a Google Firebase-ben voltak tárolva, egy egyedi API-n keresztül küldték, amely nem volt hitelesítve, ami nyílt hozzáférést eredményezett a felhasználói és áldozati adatokhoz.”
• “Daigle képes volt kihasználni egy SQL injection sebezhetőséget az adatbázishoz való hozzáféréshez, ami arra a következtetésre vezette, hogy a Firebase nem a sebezhetőség forrása volt, hanem az API.”
• Védelmi intézkedések és ajánlások:
• “A Google értesítést kapott, és bár az alkalmazás nem a Play Áruházban terjed, a vállalat hozzáadta a Google Play Protect figyelmeztetéseket a Catwatchful-hoz.”
• “Az ilyen fenyegetések elleni védelem érdekében fontos a legjobb vírusirtó szoftverek, megbízható malware eltávolító eszközök és erős végpontvédelem használata.”
• “Még a jól ismert alkalmazások és eszközök is tartalmazhatnak hibákat, ezért megbízható biztonsági szoftver futtatása és az összes alkalmazás naprakészen tartása segít csökkenteni a malware észrevétlen bejutásának kockázatát.”
• “A ‘Kínának hasznosítható’ adatokat kereső kémprogram vallási és kulturális alkalmazásokba rejtve.”

3. Következtetések és javaslatok:

A Catwatchful incidens rávilágít a sideloading útján terjedő kémprogramok jelentette súlyos veszélyekre, különösen, ha azok titkosítatlan adatokat gyűjtenek és tárolnak nem hitelesített API-kon keresztül. Az eset hangsúlyozza a felhasználói éberség, a megbízható biztonsági szoftverek, valamint a rendszeres szoftverfrissítések fontosságát.

Javaslatok:

• Felhasználók számára: Soha ne telepítsenek alkalmazásokat ismeretlen forrásokból a Google Play Áruházon kívülről. Használjanak megbízható vírusirtó és végpontvédelmi szoftvereket mobil eszközeiken. Tartsák naprakészen az összes alkalmazásukat és operációs rendszerüket. Legyenek különösen óvatosak, ha a gyermekmegfigyelő alkalmazások túlzott engedélyeket kérnek.
• Fejlesztők számára: Soha ne használjanak újra személyes e-mail címeket alkalmazások adminisztrációjához. Gondoskodjanak az érzékeny adatok megfelelő titkosításáról és a biztonságos, hitelesített API-k használatáról az adatok továbbításához és tárolásához. Rendszeresen ellenőrizzék rendszereik sebezhetőségét, például SQL injection támadások ellen.
• Google számára: A jelenlegi figyelmeztetések mellett fontolják meg további intézkedések bevezetését a sideloading útján terjedő rosszindulatú alkalmazások elleni védelem erősítésére.