Kyberturvallisuusmaailmaa koettelee jälleen uusi merkittävä tietovuoto, kun huomaamattoman Android-vakoiluohjelman, Catwatchfulin, tietoturva-aukko on paljastanut tuhansia sen asiakkaita ja jopa ohjelman ylläpitäjän. Tämä tapaus nostaa jälleen esiin kuluttajille suunnattujen vakoiluohjelmien leviämisen ja niihin liittyvät vakavat tietoturvariskit, jotka altistavat sekä maksavat asiakkaat että pahaa-aavistamattomat uhrit tietomurroille. Eric Daigle -nimisen tietoturvatutkijan löytämä haavoittuvuus vuosi vakoiluohjelman koko tietokannan, joka sisälsi Catwatchwatchful-asiakkaiden sähköpostiosoitteita ja selkokielisiä salasanoja, joita he käyttävät päästäkseen käsiksi uhriensa puhelimista varastettuihin tietoihin. Tämä paljastus korostaa jälleen kerran, kuinka arveluttavasti koodatut ja tietoturvapuutteiset vakoiluohjelmat ovat uhka paitsi niiden kohteille, myös niitä käyttäville henkilöille.
Catwatchful on vakoiluohjelma, joka naamioituu lapsen valvontasovellukseksi väittäen olevansa ”näkymätön ja havaitsematon”. Tosiasiassa se kuitenkin lataa uhrin puhelimen yksityisen sisällön hallintapaneeliin, josta sovelluksen asentanut henkilö voi tarkastella tietoja. Varastettuihin tietoihin kuuluu muun muassa uhrien valokuvia, viestejä ja reaaliaikaisia sijaintitietoja. Sovellus voi myös etäkäyttää puhelimen mikrofonin kautta tapahtuvaa ympäristön ääntä ja päästä käsiksi sekä puhelimen etu- että takakameroihin. Tällaiset vakoilusovellukset, kuten Catwatchful, ovat kiellettyjä sovelluskaupoissa ja niiden asentaminen edellyttää fyysistä pääsyä uhrin puhelimeen. Tästä syystä niitä kutsutaan usein ”seurantaohjelmiksi” niiden taipumuksen vuoksi helpottaa puolisoiden ja romanttisten kumppaneiden luvatonta valvontaa, mikä on laitonta. Catwatchful on uusin esimerkki kasvavassa luettelossa seurantaohjelmia, jotka ovat joutuneet hakkerointien, tietomurtojen tai muiden tietovuotojen kohteeksi, ja se on jo ainakin viides vakoiluohjelma tänä vuonna, joka on kärsinyt tietovuodosta.
Paljastuneen tietokannan laajuus ja vakoiluohjelman isännöinti Googlen palvelimilla
Kesäkuun alusta peräisin olevan tietokannan kopion mukaan, jonka TechCrunch on nähnyt, Catwatchfulilla oli yli 62 000 asiakkaan sähköpostiosoitteet ja salasanat sekä 26 000 uhrilaitteen puhelintiedot. Suurin osa vaarantuneista laitteista sijaitsi Meksikossa, Kolumbiassa, Intiassa, Perussa, Argentiinassa, Ecuadorissa ja Boliviassa (uhrien lukumäärän mukaisessa järjestyksessä). Jotkut tiedoista ulottuvat vuoteen 2018, tiedot osoittavat. Tämä laajuus on hälyttävä, sillä se kuvastaa vastaavanlaisten sovellusten merkittävää leviämistä ja sitä, kuinka laajalle luvaton seuranta on levinnyt ympäri maailmaa. Tietomurrot ja -vuodot ovat usein vasta jäävuoren huippu, ja ne paljastavat vain osan todellisesta uhasta, jonka tällaiset sovellukset muodostavat yksityisyydelle ja henkilökohtaiselle turvallisuudelle.
Catwatchfulin tietokanta paljasti myös vakoiluohjelman ylläpitäjän henkilöllisyyden: kyseessä on uruguaylainen kehittäjä Omar Soca Charcov. Charcov avasi TechCrunchin lähettämät sähköpostit, mutta ei vastannut kommenttipyyntöihin, jotka lähetettiin sekä englanniksi että espanjaksi. TechCrunch kysyi, oliko hän tietoinen Catwatchfulin tietovuodosta ja aikooko hän ilmoittaa tapauksesta asiakkailleen. Koska ei ollut selvää osoitusta siitä, että Charcov julkistaisi tapauksen, TechCrunch toimitti kopion Catwatchfulin tietokannasta Have I Been Pwned -tietovuotoilmoituspalvelulle. Turvallisuustutkija Eric Daigle, joka on aiemmin tutkinut seurantaohjelmien väärinkäyttöä, yksityiskohtaisesti löydöksensä blogikirjoituksessaan. Daiglen mukaan Catwatchful käyttää räätälöityä API-rajapintaa, johon kaikki asennetut Android-sovellukset tukeutuvat kommunikoidakseen Catwatchfulin palvelinten kanssa ja lähettääkseen niille tietoja. Vakoiluohjelma käyttää myös Googlen Firebasea, verkon ja mobiilikehityksen alustaa, uhrin varastettujen puhelintietojen, kuten valokuvien ja ympäristön äänitallenteiden, isännöintiin ja tallentamiseen.
Haavoittuvuudet ja Googlen toimet
Daigle kertoi TechCrunchille, että API oli todella todennusvapaa, mikä antoi kenelle tahansa internetissä mahdollisuuden olla vuorovaikutuksessa Catwatchfulin käyttäjätietokannan kanssa ilman kirjautumista, mikä paljasti koko Catwatchfulin asiakkaiden sähköpostiosoitteiden ja salasanojen tietokannan. Kun TechCrunch otti yhteyttä Catwatchfulin API:a isännöivään verkkoyhtiöön, se jäädytti vakoiluohjelman kehittäjän tilin, mikä esti lyhyesti vakoiluohjelman toiminnan. API kuitenkin palasi myöhemmin HostGatorille. HostGatorin tiedottaja Kristen Andrews ei vastannut kommenttipyyntöihin koskien yrityksen vakoiluohjelman toimintojen isännöintiä. Tämä tapaus korostaa jälleen kerran kolmansien osapuolten palveluntarjoajien vastuuta, kun he isännöivät sisältöä, joka voi olla laitonta tai vaarallista, ja kysymys tällaisen sisällön valvonnasta nousee esiin yhä useammin tietoturvaloukkauksien yhteydessä.
TechCrunch vahvisti Catwatchfulin Firebase-käytön lataamalla ja asentamalla Catwatchful-vakoiluohjelman virtualisoituun Android-laitteeseen, mikä mahdollisti vakoiluohjelman suorittamisen eristetyssä hiekkalaatikossa antamatta sille todellisia tietoja, kuten sijaintiamme. Tarkastelimme laitteen sisään ja ulos virtaavaa verkkoliikennettä, joka osoitti puhelimesta tulevan datan latautuvan tiettyyn Firebase-instanssiin, jota Catwatchful käytti uhrin varastojen tietojen isännöintiin. Kun TechCrunch toimitti Googlelle kopioita Catwatchful-haittaohjelmasta, Google ilmoitti lisänneensä uusia suojauksia Google Play Protectiin, tietoturvatyökaluun, joka tarkistaa Android-puhelimet haitallisista sovelluksista, kuten vakoiluohjelmista. Nyt Google Play Protect hälyttää käyttäjille, kun se havaitsee Catwatchful-vakoiluohjelman tai sen asentajan käyttäjän puhelimessa. TechCrunch toimitti Googlelle myös tiedot Firebase-instanssista, joka liittyy Catwatchful-toiminnon tietojen tallentamiseen. Kysyttäessä, loukkaako seurantaohjelma Firebasen käyttöehtoja, Google kertoi TechCrunchille 25. kesäkuuta, että se tutkii asiaa, mutta ei sitoutunut välittömästi poistamaan toimintoa. ”Kaikkien Firebase-tuotteita käyttävien sovellusten on noudatettava käyttöehtojamme ja käytäntöjämme. Tutkimme tätä tiettyä asiaa, ja jos havaitsemme sovelluksen rikkovan niitä, ryhdymme asianmukaisiin toimiin. Android-käyttäjät, jotka yrittävät asentaa näitä sovelluksia, ovat suojattuja Google Play Protectilla”, sanoi Googlen tiedottaja Ed Fernandez. Julkaisuhetkellä Catwatchful on edelleen isännöity Firebasessa.
Miten Catwatchful-vakoiluohjelma poistetaan?
Vaikka Catwatchful väittää, että sitä ”ei voi poistaa”, on olemassa keinoja havaita ja poistaa sovellus tartunnan saaneesta laitteesta. Ennen kuin aloitat, on tärkeää laatia turvallisuussuunnitelma, sillä vakoiluohjelman poistaminen käytöstä voi hälyttää sen asentaneen henkilön. Coalition Against Stalkerware tekee tärkeää työtä tällä alalla ja tarjoaa resursseja uhreille ja selviytyjille. Android-käyttäjät voivat havaita Catwatchfulin, vaikka se olisi piilotettu näkyvistä, näppäilemällä Android-puhelimen näppäimistöön 543210 ja painamalla sitten puhelupainiketta. Jos Catwatchful on asennettu, sovelluksen pitäisi ilmestyä näytölle. Tämä koodi on sisäänrakennettu takaoviominaisuus, jonka avulla sovelluksen asentanut henkilö voi saada takaisin pääsyn asetuksiin, kun sovellus on piilotettu. Tätä koodia voi käyttää myös kuka tahansa tarkistaakseen, onko sovellus asennettu. Sovelluksen poistamiseen TechCrunchilla on yleinen ohje Android-vakoiluohjelmien poistamiseen, joka voi auttaa tunnistamaan ja poistamaan yleisiä puhelimen seurantaohjelmatyyppejä ja sitten ottamaan käyttöön tarvittavat asetukset Android-laitteen suojaamiseksi.