一位发现了这个漏洞的安全研究人员表示,一对手机监控应用程序中的安全漏洞正在暴露数百万人的个人数据,这些人在不知情的情况下安装了这些应用。
这个漏洞使任何人都能访问从被Cocospy和Spyic侵入的任何手机或平板电脑上摄取的个人数据,包括消息、照片、通话记录等。这两款品牌不同但代码大致相同的移动Stalkerware应用Cocospy和Spyic,是共享同一源代码的。该漏洞还暴露了那些打算在某人的设备上植入这些应用以秘密监视他们的人的电子邮件地址。
类似其他类型的间谍软件,像Cocospy和Spyic这样的产品被设计为在受害者的设备上保持隐藏,同时不断地将他们设备的数据上传到一个仪表板,可以让安装了应用的人看到。由于间谍软件可以多么隐秘,大多数手机机主很可能并不知道他们的设备已经被侵犯。
Cocospy和Spyic的运营商未能回应TechCrunch的请求评论,并且在发布时还没有修复这个漏洞。
这个漏洞相对容易被利用。因此,为了不帮助不法分子利用并进一步暴露那些已经被Cocospy和Spyic侵犯的人的敏感个人数据,TechCrunch不会发布漏洞的具体细节。
发现这个漏洞的安全研究人员告诉TechCrunch,它允许任何人访问注册了这两款手机监控应用程序的人的电子邮件地址。
研究人员通过利用漏洞从这些应用的服务器上爬取了Cocospy客户的181万个电子邮件地址和Spyic客户的880,167个电子邮件地址。研究人员将电子邮件地址缓存提供给运行数据泄露通知服务Have I Been Pwned的Troy Hunt。
Hunt告诉TechCrunch,他在从数据中删除了出现在两批数据中的重复电子邮件地址后,共加载了265万个注册在Cocospy和Spyic上的唯一电子邮件地址到Have I Been Pwned,对于此类间谍软件相关的数据泄露,Cocospy和Spyic的缓存标记为“敏感”,这意味着只有拥有受影响电子邮件地址的人才能搜索查看是否在其中。
Cocospy和Spyic是最近几年遭遇安全风险的众多监控产品中的最新例子,往往是由于漏洞或不良的安全实践导致的。根据TechCrunch的统计,Cocospy和Spyic现在是自2017年以来已知的第23个被黑客入侵、泄露或以其他方式暴露客户和受害者极其敏感数据的监控操作之一。
像Cocospy和Spyic这样的手机监控应用通常被以家长控制或员工监控应用的身份销售,但通常被称为Stalkerware(或配偶间谍软件),因为其中一些产品明确在网上促销他们的应用作为监视配偶或恋人的手段,而这是非法的。即使是那些没有明确用于恶意活动营销的移动监控应用,通常也被客户用于明显的非法目的。
Stalkerware应用被应用商店禁止,通常直接从Stalkerware提供商下载。因此,Stalkerware应用通常需要物理接触某人的安卓设备才能植入,通常需要知道受害者设备密码。对于iPhone和iPad,Stalkerware可以利用一个人设备中存储在苹果的iCloud存储服务中的数据,这需要使用他们窃取的Apple帐户凭据。
与中国相关的Stalkerware
关于这两个间谍软件操作的其他内容并不清楚,包括谁运营Cocospy和Spyic。由于运营间谍软件业务所伴随的声誉和法律风险,Stalkerware运营商通常试图避开公众的关注。
Cocospy和Spyic分别于2018年和2019年推出。仅就注册用户的数量来看,Cocospy是当今已知规模最大的Stalkerware操作之一。
在2022年的一项研究项目中,安全研究人员Vangelis Stykas和Felipe Solferini分析了几个Stalkerware系列产品,发现将Cocospy和Spyic的运营与一家名为711.icu的中国手机应用开发商联系起来的证据,该公司网站已不再加载。
本周,TechCrunch在一个虚拟设备上安装了Cocospy和Spyic应用(这使我们能够在安全的沙箱环境中运行应用,而无需向任何间谍软件提供任何真实世界的数据,比如我们的位置)。这两款stalkerware应用都冒充为一个在Android上看起来普通的“系统服务”应用,这样可以混入到Android内置应用中,从而避免检测。
我们使用了网络分析工具来观察该应用程序中流入和流出的数据,以了解间谍软件操作是如何工作的,分享了什么数据,以及服务器的位置在哪里。
我们的流量分析显示,该应用程序通过Cloudflare发送我们虚拟设备的数据,Cloudflare是一个网络安全提供商,用于模糊化间谍软件操作的真实世界位置和网络主机。但是,网络流量显示这两个Stalkerware应用正在将一些受害者的数据,如照片,上传到一个托管在Amazon Web Services上的云存储服务器。
亚马逊和Cloudflare均未回应TechCrunch关于Stalkerware操作的询问。
分析还显示,当应用程序正在使用时,服务器偶尔会用中文响应状态或错误消息,表明这些应用是由与中国有关系的人开发的。
如何删除Stalkerware
从Cocospy和Spyic中爬取的电子邮件地址可以让安装了这些应用的人确定他们的信息(以及他们受害者的数据)是否受到了侵害。但是,数据并不包含足够的可识别信息来通知那些手机已经受到侵害的个人。
但是,您可以做一些事情来检查您的手机是否受到Cocospy和Spyic的侵害。与大多数Stalkerware一样,这两个应用程序都依赖于一个人故意削弱安卓设备的安全设置来植入应用程序 - 或者在iPhone和iPad的情况下,使用了某人的Apple帐户并知道他们的用户名和密码。
即使Cocospy和Spyic试图通过显示为一个名为“系统服务”的通用应用程序来隐藏,仍然有方法可以发现它们。
对于Cocospy和Spyic,您通常可以在安卓手机应用的拨号键盘上输入✱✱001✱✱,然后按“呼叫”按钮,以使Stalkerware应用显示在屏幕上- 如果已安装。这是Cocospy和Spyic内置的功能,允许在受害者设备上植入应用的人重新获得访问权限。在这种情况下,受害者也可以使用该功能来确定该应用是否已安装。
您还可以通过安卓设置菜单中的应用程序菜单检查已安装的应用程序,即使该应用程序被隐藏。
TechCrunch有一篇关于Android间谍软件移除的指南,可以帮助您识别和删除常见类型的手机Stalkerware。请记住,为了防止安装间谍软件,需要制定一个安全计划,否则可能会提醒安装它的人。
对于安卓用户,打开Google Play Protect是一种有用的安全防护措施,可以防范恶意安卓应用,包括Stalkerware。如果尚未启用,您可以从Google Play的设置菜单中启用它。
如果您是iPhone和iPad用户,认为自己可能受到侵害,请检查您的苹果帐户是否使用了一个长且独特的密码(最好保存在密码管理器中),并且您的账户还是否打开了双因素认证。您还应该检查并删除您不认识的任何设备。
如果您或您认识的人需要帮助,国家家庭暴力热线(1-800-799-7233)为家庭暴力和暴力受害者提供24/7免费、机密的支持。如果您处于紧急情况,请拨打911。如果您认为您的手机已被间谍软件侵害,反对Stalkerware联盟有资源可以提供。
通过Signal和WhatsApp与Zack Whittaker安全地联系,电话号码为+1 646-755-8849。您也可以通过SecureDrop安全地分享文件给TechCrunch。
