Nem elég, hogy kémkednek, még hibásak is

​A leggyakrabban telepített megfigyelő-kémkedő alkalmazások olyan sebezhetőségekkel vannak tele, amelyek az áldozatokra nézve további járulékos fenyegetéseket jelentenek.
 

A megfigyelésre és kémkedésre alkalmas mobil alkalmazások egyre több problémát okoznak. Ezeket gyakran zaklatók használják, és az áldozat tudta nélkül titokban telepít rá annak eszközére. Ehhez az elkövetőnek általában rövid időre fizikailag is hozzá kell férnie az áldozat készülékéhez, ezért a zaklatók gyakran az áldozat közeli családtagjai, esetleg ismeretségi vagy munkahelyi köréhez tartoznak.

"A mobilos megfigyelő appokkal történő kémkedés egyre gyakoribb fenyegetés. Az ESET telemetriai adatai szerint a megfigyelő-kémkedő alkalmazások észlelésének száma 2020-ban mintegy 48 százalékkal emelkedett a 2019-es évhez képest. Kutatásunkban több, mint 80 ilyen androidos szoftvercsaládot vizsgáltunk a biztonsági problémákra és a kódjukban lévő adatvédelmi hibákra összpontosítva" - nyilatkozta Lukáš Štefanko, az ESET kutatója.

Ártatlannak álcázott alkalmazások

Ezek az appok egyebek mellett képesek naplózni és kiszivárogtatni az áldozat eszközének GPS-koordinátáit, a beszélgetéseket, a képeket és a böngészési előzményeit is. Az adatokat egy távoli helyre töltik fel anélkül, hogy ebből a készülék tulajdonosa bármit is észre venne. 
 
E problémás alkalmazások fejlesztői gyakorta úgy tudnak észrevétlenek maradni és elkerülni azt, hogy kártékony, nemkívánatos appként jelöljék meg a szerzeményeiket, hogy sok esetben gyermekek, alkalmazottak vagy nők számára védelmet nyújtó alkalmazásként aposztrofálják a programjaikat. Ráadásul nem olyan nehéz megtalálni ezeket az eszközöket - még csak nem is kell hozzá darkwebes vagy illegális oldalakat böngészni.

Az ESET kutatói a megfigyelésre alkalmas alkalmazások elemzése során számos súlyos biztonsági és adatvédelmi problémát azonosítottak, amelyeket kihasználva egy külső támadó át tudja venni az irányítást az áldozat eszköze felett. Emellett könnyen megszerezheti az áldozat adatait, hamis bizonyítékokat tölthet fel az eszközére vagy távoli kódfuttatással akár tetszőleges parancsokat is végrehajthat a gyanútlan személy okostelefonján.

Az ESET a biztonsági rések 90 napon belüli koordinált nyilvánosságra-hozatalával kapcsolatos irányelveinek megfelelően többször is értesítette ezekről a problémákról az érintett gyártókat. Sajnos ezek közül eddig mindössze hat javította ki az alkalmazásaikban észlelt problémákat. Negyvennégy gyártó egyáltalán nem válaszolt a megkeresésekre, hét pedig megígérte, hogy hamarosan megoldja a problémákat egy biztonsági frissítéssel.