Sob o disfarce de uma app de controlo parental, a Catwatchful é, na verdade, uma app de stakerware e afirma ser invisível e indetectável, dando acesso aos conteúdos dos smartphones, entre mensagens, fotos e localização em tempo real. A app também permite aceder remotamente aos microfones e câmaras para ver e ouvir o ambiente onde se encontram as vítimas.

Recorde-se que as apps de stalkerware, que fazem parte do mundo do spyware, são frequentemente utilizadas no contexto de relações abusivas, permitindo que alguém espie tudo o que outra pessoa faz no smartphone sem o seu consentimento.

A vulnerabilidade, descoberta pelo investigador de segurança Eric Daigle, levou à exposição dos endereços de email e palavras-passe de mais de 62.000 clientes que usavam a Catwatchful para espiar outras pessoas, assim como dos dados dos smartphones de 26.000 vítimas, avança o TechCrunch.

A maioria dos equipamentos comprometidos tinha origem em países como México, Colômbia, Índia, Peru, Argentina, Equador e Bolívia, incluindo dados que remontavam até 2018. Entre os dados expostos surgia também o nome de Omar Soca Charcov, que se acredita ser o programador responsável pela operação de spyware.

Spyzie: App de stalkerware usada para vigiar namorados coloca em risco milhares de smartphones Android e iOS
Spyzie: App de stalkerware usada para vigiar namorados coloca em risco milhares de smartphones Android e iOS
Ver artigo

De acordo com Eric Daigle, que partilhou as conclusões da investigação no seu blog, a aplicação de stalkerware usa uma API personalizada, usada para comunicar com os seus servidores, recorrendo também à plataforma de desenvolvimento Firebase, que é um serviço da Google, para armazenar os dados das vítimas.

O problema estava na API, que não exigia qualquer tipo de autenticação, permitindo que qualquer pessoa pudesse consultar a base de dados.

Após ter sido alertada, a empresa que hospedava a API suspendeu a conta associada à Catwatchful, suspendendo temporariamente o funcionamento da app. No entanto, pouco tempo depois, a app voltou a estar ativa, com a API a ser hospedada nos servidores de outra empresa.

A Google também foi alertada pelo TechCrunch para o uso da Firebase por parte da app. A tecnológica atualizou o Google Play Protect para detetar e alertar os utilizadores caso a Catwatchful, ou uma versão semelhante, seja instalada sem o seu conhecimento. Embora a Google tenha afirmado que está a investigar o caso, até à data, a Catwatchful hospedada na Firebase.