
Sob o disfarce de uma app de controlo parental, a Catwatchful é, na verdade, uma app de stakerware e afirma ser invisível e indetectável, dando acesso aos conteúdos dos smartphones, entre mensagens, fotos e localização em tempo real. A app também permite aceder remotamente aos microfones e câmaras para ver e ouvir o ambiente onde se encontram as vítimas.
Recorde-se que as apps de stalkerware, que fazem parte do mundo do spyware, são frequentemente utilizadas no contexto de relações abusivas, permitindo que alguém espie tudo o que outra pessoa faz no smartphone sem o seu consentimento.
A vulnerabilidade, descoberta pelo investigador de segurança Eric Daigle, levou à exposição dos endereços de email e palavras-passe de mais de 62.000 clientes que usavam a Catwatchful para espiar outras pessoas, assim como dos dados dos smartphones de 26.000 vítimas, avança o TechCrunch.
A maioria dos equipamentos comprometidos tinha origem em países como México, Colômbia, Índia, Peru, Argentina, Equador e Bolívia, incluindo dados que remontavam até 2018. Entre os dados expostos surgia também o nome de Omar Soca Charcov, que se acredita ser o programador responsável pela operação de spyware.
De acordo com Eric Daigle, que partilhou as conclusões da investigação no seu blog, a aplicação de stalkerware usa uma API personalizada, usada para comunicar com os seus servidores, recorrendo também à plataforma de desenvolvimento Firebase, que é um serviço da Google, para armazenar os dados das vítimas.
O problema estava na API, que não exigia qualquer tipo de autenticação, permitindo que qualquer pessoa pudesse consultar a base de dados.
Após ter sido alertada, a empresa que hospedava a API suspendeu a conta associada à Catwatchful, suspendendo temporariamente o funcionamento da app. No entanto, pouco tempo depois, a app voltou a estar ativa, com a API a ser hospedada nos servidores de outra empresa.
A Google também foi alertada pelo TechCrunch para o uso da Firebase por parte da app. A tecnológica atualizou o Google Play Protect para detetar e alertar os utilizadores caso a Catwatchful, ou uma versão semelhante, seja instalada sem o seu conhecimento. Embora a Google tenha afirmado que está a investigar o caso, até à data, a Catwatchful hospedada na Firebase.
Pergunta do Dia
Em destaque
-
Multimédia
Milhares de cores em nova imagem impressionante da Galáxia do Escultor -
App do dia
Já experimentou a Edits? É a aposta do Instagram para editar vídeos ao estilo do CapCut -
Site do dia
Adivinhe onde está e aprenda um pouco mais sobre o mundo -
How to TEK
Verifique se o seu smartphone está infetado com malware analisando sintomas estranhos
Comentários