カナダのセキュリティ研究者エリック・デイグル氏が発見したセキュリティの脆弱性により、Android向けのスパイウェア「Catwatchful」が数千人の顧客情報を漏洩したと発表しました。この脆弱性により、電子メールアドレスやパスワードが平文で漏洩し、被害者の携帯電話から盗まれたデータにアクセスできる状態になっていたということです。
「Catwatchful」は、子供の監視アプリとして偽装され、「目に見えず検出できない」と主張していますが、実際には被害者のプライベートなデータを収集し、それをアプリを仕掛けた人物が閲覧できるダッシュボードにアップロードしていました。収集されたデータには、被害者の写真やメッセージ、リアルタイムの位置情報が含まれています。このアプリは、電話のマイクからのライブ音声やカメラへのアクセスも可能です。
スパイウェアアプリはアプリストアから禁止されており、物理的に携帯電話にアクセスできる人物によってダウンロードされる必要があります。このため、こうしたアプリは「ストーカーウェア」と呼ばれ、違法な監視を助長する傾向があります。
「Catwatchful」は、今年に入って少なくとも5件目のデータ漏洩を起こしたスパイウェアであり、消費者向けスパイウェアの脆弱性が依然として広がっていることを示しています。データベースによると、62,000人以上の顧客のメールアドレスとパスワード、26,000人の被害者のデバイスデータが含まれていました。最も多くの被害デバイスはメキシコ、コロンビア、インド、ペルー、アルゼンチン、エクアドル、ボリビアに所在しているということです。
「Catwatchful」のデータベースは、スパイウェアの運営者であるウルグアイの開発者オマー・ソカ・チャルコフ氏の身元も明かしました。チャルコフ氏は、英語とスペイン語で送信されたコメントの要請に応じていません。TechCrunchは彼がデータ漏洩について認識しているか、顧客に通知する予定があるかを尋ねましたが、明確な回答はありませんでした。
セキュリティ研究者のデイグル氏によると、「Catwatchful」はカスタムAPIを使用しており、すべてのアプリがこのAPIを通じてサーバーと通信していました。APIは認証されておらず、インターネット上の誰でも顧客のデータベースにアクセスできる状態だったということです。
TechCrunchは、スパイウェアの開発者のアカウントを一時的に停止したが、その後HostGatorで再びAPIが稼働したと報告しました。HostGatorのスポークスパーソンであるクリステン・アンドリューズ氏はコメントに応じませんでした。
Googleは、「Catwatchful」のマルウェアのコピーを受け取った後、Google Play Protectに新しい保護機能を追加しました。これにより、スパイウェアを検出した際にユーザーに警告するということです。Firebaseインスタンスに関しては、Googleは調査中であり、違反が確認された場合は適切な対策を講じる方針です。
「Catwatchful」は、所有者や運営者の情報を公開しておらず、運営者の身元を隠すことが一般的です。しかし、データセットのセキュリティミスにより、チャルコフ氏が運営者であることが判明しました。
被害者の安全を考慮し、スパイウェアを無効にする前に安全計画を立てることが重要です。「ストーカーウェア反対連合」などの団体が支援を提供しています。「Catwatchful」は、Androidの電話アプリで「543210」とダイヤルし、通話ボタンを押すことで検出可能です。アプリがインストールされている場合、画面に表示されます。
スパイウェアの削除方法については、Androidスパイウェアの一般的な削除ガイドが役立ちます。デバイスのセキュリティを強化するための設定も推奨されています。