Μια ελάχιστα γνωστή εφαρμογή παρακολούθησης τηλεφώνου που ονομάζεται Xnspy έχει κλέψει δεδομένα από δεκάδες χιλιάδες iPhone και συσκευές Android. Η πλειοψηφία μάλιστα των ιδιοκτητών δεν γνωρίζει ότι τα δεδομένα τους έχουν κλαπεί.
Το Xnspy είναι μία από τις πολλές λεγόμενες εφαρμογές stalkerware που πωλούνται με το πρόσχημα ότι επιτρέπουν σε έναν γονέα να παρακολουθεί τις δραστηριότητες του παιδιού του. Στην αγορά όμως διατίθεται για την κατασκοπεία σε συσκευές συζύγων ή συντρόφων χωρίς την άδειά τους. Ο ιστότοπός της εφαρμογής αναφέρει ότι “για να δείτε αν είστε απατημένος σύζυγος, χρειάζεστε το Xnspy στο πλευρό σας” και “Το Xnspy κάνει την αναφορά και την εξαγωγή δεδομένων απλούστερη για εσάς.”
Οι εφαρμογές Stalkerware, γνωστές και σαν spouseware, τοποθετούνται κρυφά από κάποιον με φυσική πρόσβαση στην συσκευή. Παρακάμπτουν τις προστασίες ασφαλείας της συσκευής και έχουν σχεδιαστεί για να παραμένουν κρυφές από τις αρχικές οθόνες, γεγονός που καθιστά πολύ δύσκολο τον εντοπισμό τους.
Μόλις εγκατασταθούν, αυτές οι εφαρμογές στέλνουν σιωπηλά και συνεχώς τα περιεχόμενα του τηλεφώνου, όπως αρχεία κλήσεων, μηνύματα κειμένου, φωτογραφίες, ιστορικό περιήγησης και ακριβή δεδομένων τοποθεσίας, σε αυτόν που εγκατέστησε την εφαρμογή επιτρέποντάς του να έχει σχεδόν πλήρη πρόσβαση στα δεδομένα του θύματός του.
Ωστόσο, τα νέα ευρήματα δείχνουν ότι πολλές εφαρμογές stalkerware είναι γεμάτες με κενά ασφαλείας και αποκαλύπτουν τα δεδομένα που έχουν κλαπεί από τα τηλέφωνα των θυμάτων. Το Xnspy δεν είναι διαφορετικό.
Οι ερευνητές ασφάλειας Βαγγέλης Στύκας και Felipe Solferini πέρασαν μήνες εξετάζοντας αρκετές γνωστές εφαρμογές stalkerware και αναλύοντας τα δίκτυα στα οποία στέλνουν τα δεδομένα των θυμάτων τους.
Η έρευνά τους, που παρουσιάστηκε στο BSides London αυτόν τον μήνα, εντόπισε κοινά και εύκολα ελαττώματα ασφαλείας σε πολλές οικογένειες stalkerware, συμπεριλαμβανομένου και του Xnspy. Ανακάλυψαν για παράδειγμα διαπιστευτήρια και ιδιωτικά κλειδιά που άφησαν στον κώδικα οι προγραμματιστές και σπασμένη ή ανύπαρκτη κρυπτογράφηση. Σε ορισμένες περιπτώσεις, τα κενά ασφαλείας εξέθεταν τα κλεμμένα δεδομένα των θυμάτων, τα οποία έτσι κι αλλιώς βρίσκονται σε μη ασφαλείς διακομιστές κάποιου άλλου.