スパイウェア「TheTruthSpy」において、ユーザーアカウントを乗っ取ることが可能な重大なセキュリティ脆弱性が発見されたと、テッククランチが発表しました。この脆弱性は、独立系セキュリティ研究者のスワラン・ウェイド氏によって発見されたもので、誰でもユーザーのパスワードをリセットし、アカウントをハイジャックすることができるということです。
「TheTruthSpy」は、被害者の同意なくスマートフォンのデータを収集する可能性があるため、ユーザーの多くがターゲットの同意を得ずに利用していると考えられています。このような消費者向けスパイウェアのメーカーは、データの安全性を確保できないと指摘されています。
テッククランチは、複数のテストアカウントのユーザー名を研究者に提供し、脆弱性を確認しました。研究者はすぐにパスワードを変更しましたが、TheTruthSpyの所有者に連絡を試みたところ、応答はなかったということです。
スパイウェア「TheTruthSpy」の運営者であるヴァン・ティエウ氏は、ソースコードが「失われた」と述べ、修正ができないとしています。公開時点で、この脆弱性は依然として存在し、数千人の被害者にとって重大なリスクとなっています。
「TheTruthSpy」は、1Byteソフトウェアによって開発されたベトナムのスパイウェアで、他のブランド名で展開される類似のAndroidスパイウェアアプリと共通のバックエンドダッシュボードを使用しています。そのため、この脆弱性は他のブランドやホワイトラベルのスパイウェアアプリのユーザーにも影響を及ぼす方針です。
2021年の調査では、「TheTruthSpy」が40万人の被害者の個人データをインターネット上に公開していたことが明らかになりました。最近では、5万人の新たな被害者のデータが流出したとされています。
ティエウ氏は、アプリをゼロから再構築し、「MyPhones.app」という新しい監視アプリを開発中であると述べています。しかし、依然として「TheTruthSpy」と同じシステムを利用していることが確認されています。
「TheTruthSpy」は、被害者のデータを安全に保つことができないため、依然として脅威であると指摘されています。
もし、あなたや知人が助けを必要としている場合、全米家庭内暴力ホットライン(1-800-799-7233)は24時間無料で相談を受け付けており、緊急の場合は911に連絡してください。スパイウェアに関するリソースは、ストーカーウェア対策連合が提供しています。