Catwatchful adlı gizli bir Android spyware uygulamasındaki güvenlik açığı, binlerce kullanıcının verilerini, hatta uygulamanın yöneticisini de ifşa etti.
Güvenlik araştırmacısı Eric Daigle tarafından keşfedilen bu hata, Catwatchful kullanıcılarının telefonlarından çalınan verilere erişmek için kullandığı e-posta adresleri ve açık metin şifrelerin bulunduğu tam bir veritabanını ortaya çıkardı.
Catwatchful, “görünmez ve tespit edilemez” olduğunu iddia eden bir çocuk izleme uygulaması olarak kendini tanıtan bir spyware’dir. Ancak bu uygulama, mağdurların telefonlarındaki özel içerikleri, uygulamayı yerleştiren kişinin erişebileceği bir kontrol paneline yüklüyor. Çalınan veriler arasında mağdurların fotoğrafları, mesajları ve gerçek zamanlı konum verileri yer alıyor. Uygulama ayrıca, telefonun mikrofonundan canlı ortam seslerini uzaktan dinleme ve hem ön hem de arka kameralara erişme yeteneğine sahip.
Catwatchful gibi spyware uygulamaları, uygulama mağazalarından yasaklıdır ve bir kişinin telefonuna fiziksel erişimi olan biri tarafından indirilip yerleştirilmek zorundadır. Bu nedenle, bu tür uygulamalar genellikle eşlerin ve romantik partnerlerin rızası olmadan izlenmesini kolaylaştırdıkları için “stalkerware” (ya da eş yazılımları) olarak adlandırılmaktadır; bu da yasadışıdır.
Catwatchful, hacklenen, ihlal edilen veya elde ettikleri verileri açığa çıkaran artan stalkerware operasyonları listesinde en son örnektir. Bu yıl en az beşinci spyware operasyonu olan Catwatchful, veri sızıntısıyla karşılaşmıştır. Bu olay, tüketici düzeyindeki spyware’in yayılmaya devam ettiğini gösteriyor; zira bu tür yazılımlar, hem ödeme yapan müşterileri hem de masum kurbanları veri ihlallerine maruz bırakacak şekilde kötü kodlama ve güvenlik eksiklikleri ile doludur.
Haziran ayı başlarında elde edilen bir veritabanına göre, Catwatchful’ın 62,000’den fazla müşterinin e-posta adresleri ve şifreleri ile birlikte 26,000 mağdurun cihazlarından alınan telefon verileri bulundu.
İhlal edilen cihazların çoğu Meksika, Kolombiya, Hindistan, Peru, Arjantin, Ekvador ve Bolivya’da bulunmaktadır (mağdur sayısına göre sıralama). Bazı kayıtların 2018 yılına kadar uzandığı görülmektedir.
Catwatchful veritabanı, spyware operasyonunun yöneticisi olan Omar Soca Charcov‘un kimliğini de ortaya çıkardı. Charcov, Uruguay merkezli bir geliştiricidir. Charcov, e-postalarımızı açtı ancak İngilizce ve İspanyolca olarak gönderilen yorum taleplerine yanıt vermedi. TechCrunch, kendisine Catwatchful veri ihlali hakkında bilgi sahibi olup olmadığını ve bu durumu müşterilerine bildirmeyi düşünüp düşünmeyeceğini sordu.
Charcov’un durumu açıklayacağına dair herhangi bir belirti olmadığı için, TechCrunch, Catwatchful veritabanının bir kopyasını veri ihlali bildirim hizmeti olan Have I Been Pwned ile paylaştı.
Catwatchful, Google’ın Sunucularında Spyware Verisi Barındırıyor
Kanada’da güvenlik araştırmacısı olan Daigle, daha önce stalkerware istismarlarını araştırmış ve bulgularını bir blog yazısında detaylandırmıştır.
Daigle’a göre, Catwatchful, her bir Android uygulamasının Catwatchful sunucularıyla iletişim kurmasını ve veri göndermesini sağlayan özel bir API kullanıyor. Spyware ayrıca, mağdurların çalınan telefon verilerini, fotoğraflarını ve ortam ses kayıtlarını barındırmak için Google’ın Firebase’ını kullanıyor.
Daigle, TechCrunch’a yaptığı açıklamada, API’nin kimlik doğrulamasının olmadığını, bu nedenle internetteki herkesin Catwatchful kullanıcı veritabanı ile etkileşime girebileceğini, bu durumun da tüm Catwatchful veritabanının e-posta adresleri ve şifreleri ifşasına yol açtığını belirtti.
TechCrunch, Catwatchful API’sini barındıran web şirketiyle iletişime geçti ve spyware geliştiricisinin hesabını askıya aldı. Bu durum, spyware’in çalışmasını geçici olarak engelledi, ancak API daha sonra HostGator’da yeniden aktif hale geldi. HostGator’un sözcüsü Kristen Andrews, spyware’in operasyonlarını barındıran şirketle ilgili yorum taleplerine yanıt vermedi.
TechCrunch, Catwatchful spyware’i sanal bir Android cihazda indirip yükleyerek, spyware’in izole bir kumanda alanında çalıştırılmasını sağladı. Cihazdan çıkan ağ trafiğini incelediğimizde, telefon verilerinin Catwatchful’ın mağdurların çalınan verilerini barındırdığı belirli bir Firebase instance’ına yüklendiği görüldü.
TechCrunch, Google’a Catwatchful kötü amaçlı yazılımının kopyalarını sağladıktan sonra, Google Play Protect için yeni korumalar eklediğini bildirdi. Bu güvenlik aracı, Android telefonları kötü amaçlı uygulamalar için tarar. Artık Google Play Protect, Catwatchful spyware’ini veya yükleyicisini tespit ettiğinde kullanıcılara uyarıda bulunacaktır.
TechCrunch ayrıca, Catwatchful operasyonu için veri depolayan Firebase instance’ının ayrıntılarını Google ile paylaştı. Google, Firebase’in hizmet şartlarını ihlal edip etmediği hakkında sorulduğunda, TechCrunch’a 25 Haziran’da araştırma yapıldığını ancak operasyonu hemen kaldırma taahhüdünde bulunamayacaklarını söyledi.
“Firebase ürünlerini kullanan tüm uygulamalar, hizmet şartlarımız ve politikalarımıza uymalıdır. Bu özel durumu araştırıyoruz ve bir uygulamanın ihlal edildiğini bulursak, uygun önlemler alınacaktır. Bu uygulamaları yüklemeye çalışan Android kullanıcıları, Google Play Protect tarafından korunmaktadır,” dedi Google sözcüsü Ed Fernandez.
Yayınlandığı andan itibaren, Catwatchful hala Firebase üzerinde barındırılmaktadır.
Operasyonel Güvenlik Hatası Spyware Yöneticisini Açığa Çıkardı
Birçok spyware operasyonunda olduğu gibi, Catwatchful da sahibini halka açık bir şekilde listelememekte veya operasyonu kimin yürüttüğünü açıklamamaktadır. Stalkerware ve spyware operatörlerinin gerçek kimliklerini gizlemeleri yasal ve itibar riskleri nedeniyle yaygın bir durumdur.
Ancak, veri kümesindeki bir operasyonel güvenlik hatası, Charcov’u operasyonun yöneticisi olarak açığa çıkardı.
Catwatchful veritabanının bir incelemesi, Charcov’un veri kümesindeki dosyalardan birinin içindeki ilk kayıt olarak listelendiğini göstermektedir. (Geçmişte spyware ile ilgili veri ihlallerinde, bazı operatörler, spyware ürünlerini kendi cihazlarında test ettikleri için tanımlanmıştır.)
Veri seti, Charcov’un tam adını, telefon numarasını ve Catwatchful veritabanasının Google sunucularında depolandığı belirli Firebase instance’ının web adresini içermektedir.
Veri setinde bulunan Charcov’un kişisel e-posta adresi, LinkedIn sayfasında da yer alan e-posta adresiyle aynıdır ve bu sayfa artık özel hale getirilmiştir. Charcov, Catwatchful yöneticisinin e-posta adresini, kişisel e-posta hesabında kurtarma adresi olarak yapılandırmıştır; bu da Charcov’u Catwatchful operasyonuna doğrudan bağlamaktadır.
Catwatchful Spyware Nasıl Kaldırılır?
Catwatchful, “kaldırılamaz” olduğunu iddia etse de, etkilenen bir cihazdan uygulamanın tespit edilmesi ve kaldırılması için bazı yollar vardır.
Başlamadan önce, bir güvenlik planı oluşturmak önemlidir; çünkü spyware’i devre dışı bırakmak, onu yerleştiren kişiye alarm verebilir. Coalition Against Stalkerware, bu alanda önemli çalışmalar yapmaktadır ve mağdurlara ve hayatta kalanlara yardımcı olmak için kaynaklar sunmaktadır.
Android kullanıcıları, Catwatchful’ı görünmez olsa bile tespit edebilir. Bunu yapmak için, Android telefon uygulamanızın tuş takımına 543210 yazarak çağrı butonuna basmalısınız. Catwatchful yüklüyse, uygulama ekranınızda görünmelidir. Bu kod, uygulamanın saklanması durumunda ayarlarına yeniden erişim sağlamak için yerleştiren kişi tarafından kullanılan yerleşik bir arka kapı özelliğidir. Bu kod aynı zamanda herhangi biri tarafından uygulamanın yüklü olup olmadığını kontrol etmek için de kullanılabilir.
Uygulamayı kaldırmak için, TechCrunch, Android spyware’ını tanımlamanıza ve kaldırmanıza yardımcı olacak genel bir kaldırma kılavuzu sunmaktadır; ardından Android cihazınızı güvence altına almak için gerekli olan çeşitli ayarları etkinleştirebilirsiniz.
—
Birine yardım etmek gerekiyorsa, Ulusal Aile İçi Şiddet Hattı (1-800-799-7233), aile içi şiddet ve şiddet mağdurlarına 24/7 ücretsiz, gizli destek sağlamaktadır. Acil bir durumda, 911’i arayın. Coalition Against Stalkerware, telefonunuzun spyware tarafından tehlikeye girip girmediğini düşünüyorsanız kaynaklar sunmaktadır.
-
-
-
-
