Aplikacija za tajni nadzor mobilnih telefona, poznata pod imenom Catwatchful, doživela je veliki bezbjednosni propust koji je doveo do otkrivanja podataka više od 62.000 korisnika, uključujući lozinke, imejl adrese i druge osjetljive informacije.
Kako je objavio tehnološki portal Ars Technica, sigurnosni istraživač Erik Dejgl otkrio je ranjivost u API-u ove aplikacije, koja omogućava trećim licima pristup kompletnoj bazi podataka – bez ikakve autentifikacije. Među kompromitovanim podacima nalaze se i informacije o 26.000 uređaja koji su bili meta nadzora.Aplikacija Catwatchful spada u takozvani ,,stalkerware” – softver koji se često koristi za neovlašćeno praćenje drugih osoba. Proizvođač je alat reklamirao kao sredstvo za roditeljski nadzor, ali njegova funkcionalnost ukazuje na mnogo širu (i sporniju) upotrebu. Instalira se tiho, ne prikazuje se korisniku i teško se uklanja.
Poseban problem predstavlja činjenica da su lozinke korisnika bile sačuvane u običnom tekstualnom formatu, bez ikakve enkripcije, što značajno povećava rizik za korisnike koji istu lozinku koriste i na drugim servisima.
Nakon što su mediji objavili detalje, hosting provajder koji je prvobitno hostovao aplikaciju uklonio je sadržaj, ali su podaci kasnije premješteni na drugi server, gdje je aplikacija nastavila s radom, iako uz oštru reakciju stručnjaka za bezbjednost.
Reagovao je i Google, pooštrivši mjere zaštite u okviru Play Protect sistema, kako bi spriječio instalaciju aplikacije na Android uređajima.
Korisnicima se preporučuje da, ukoliko su koristili Catwatchful, odmah promjene sve lozinke koje su koristili na tom nalogu, posebno ako ih koriste i na drugim servisima.
Preporučeno
Uključite dvofaktorsku autentifikaciju gdje god je to moguće. Provjerite da li se vaša mejl adresa nalazi među kompromitovanim nalozima na sajtovima kao što je Have I Been Pwned. Na kraju, izbjegavajte korišćenje aplikacija za nadzor koje nemaju jasnu politiku privatnosti i transparentne funkcionalnosti.
Video