Под операционной системой Android доступны десятки приложений класса stalkerware, позволяющие следить за близкими людьми и контролировать их общение. Однако в большей части таких приложений есть уязвимости, угрожающие приватности самим пользователям.
Шпионаж за шпионом
Эксперты обнаружили десятки
уязвимостей в приложениях под Android, используемых для слежки за людьми. Эти
уязвимости позволяют шпионить за самими любителями слежки.
Приложения разновидности stalkerware («сталкерские»
программы) пользуются немалой популярностью. Обычно они рекламируются как
средства защиты несовершеннолетних, однако их используют с куда менее
благородными целями, — главным образом для слежки за вполне совершеннолетними
людьми. Эти приложения позволяют отслеживать местоположение жертвы по GPS, перехватывать разговоры,
красть изображения и историю браузеров и т. д. В общем, это полноценные
шпионские программы.
Эксперты ESET проанализировали 86
таких приложений 86 вендоров и насчитали более 150 уязвимостей, затрагивающих
58 подобных программ. Эти уязвимости позволяют в еще большей степени нарушать
приватность и объектов слежки, и тех, кто ею занимается с помощью таких
программ.
Уязвимости среди прочего
позволяют перехватывать контроль над устройством, на котором установлено
следящее приложение, закачивать «сфабрикованные свидетельства» на устройства
жертв, запускать произвольный код удаленно. Кроме того, во многих приложениях
очень слабо реализованы механизмы защиты персональных данных, причем не только
жертв, но и сталкеров: в 17 приложениях их данные «утекают» с управляющего
сервера. Надежность хранения и передачи личных данных в таких приложениях зачастую
очень низкая, даже с учетом их назначения.
Разработчики не реагируют
По данным ESET, за последние два года
количество сталкерских приложений ощутимо выросло. В 2019 г. их оказалось в
пять раз больше, чем в 2018 г; в 2020 г. — на 48% больше, чем годом ранее.
Информация об этом поступила из телеметрии ESET. С чем связан такой резкий рост интереса, в
публикации компании не уточняется.
В ESET указали, что надлежащим образом уведомили всех
вендоров о проблемах в их приложениях. По истечении 90-дневного срока лишь
шестеро из них внесли исправления, семь пообещали их внести, но так и не
сделали этого. Один вендор заявил, что ничего исправлять не будет. Остальные
разработчики уязвимых приложений просто не отреагировали на информацию ESET.
«Использование таких
приложений в первую очередь неэтично, — говорит Алексей Водясов, технический директор компании SEC Consult
Services. — Чаще всего они и не задерживаются в официальных магазинах
приложений. В целом то, что они полны уязвимостей, выдающих данные не только
жертвы, но и сталкера, совершенно не удивительно: не для того их создавали,
чтобы беречь чью-либо приватность».