افشای اطلاعات ۶۲ هزار کاربر در یک اپ جاسوسی اندرویدی؛ زنگ خطر امنیت موبایل

این برنامه که با عنوان Catwatchful شناخته می‌شود، اپلیکیشنی برای نظارت و جاسوسی است که پس از نصب بر روی گوشی‌های اندرویدی، در پس‌زمینه فعالیت می‌کند. این اپلیکیشن بدون اطلاع کاربر، تمامی فعالیت‌های گوشی را زیر نظر گرفته، آن‌ها را ضبط می‌کند و از طریق یک وب‌سایت اختصاصی در اختیار فردی قرار می‌دهد که اقدام به نصب آن کرده است.

سازندگان این برنامه ادعا می‌کنند که Catwatchful با هدف نظارت بر رفتار کودکان طراحی شده و به همین دلیل باید با نهایت پنهان‌کاری عمل کند. در همین راستا، اپلیکیشن به گونه‌ای توسعه یافته که نه‌تنها به صورت کاملاً مخفی در پس‌زمینه اجرا می‌شود، بلکه کاربر اصلی تلفن همراه حتی بدون وارد کردن یک کد محرمانه، از وجود آن مطلع نخواهد شد و امکان حذف آن را نیز نخواهد داشت.

در این گزارش آمده است که ماهیت این اپلیکیشن و قابلیت‌های آن، که می‌تواند برای جاسوسی از افراد بزرگسال نیز مورد استفاده قرار گیرد، باعث بروز نگرانی‌های جدی در میان کارشناسان امنیت اطلاعات و حامیان حریم خصوصی شده است.

اریک دیگل که موفق به استخراج پایگاه داده این برنامه شده، تأکید کرده است که تا زمانی که رمز عبور مشخصی وارد نشود، اپلیکیشن همچنان در وضعیت پنهان باقی می‌ماند و تنها در صورت وارد کردن این رمز، امکان مشاهده، کنترل یا حذف آن وجود خواهد داشت.

دیگل توضیح داده است که آسیب‌پذیری مورد استفاده او از نوع تزریق SQL بوده و سوءاستفاده از آن بسیار آسان بوده است. وی توانسته از این طریق به‌صورت مستقیم به سرور برنامه و تمامی اطلاعات ذخیره‌شده در آن دسترسی پیدا کند.

بر اساس اطلاعات منتشرشده، دیگل همچنین موفق به شناسایی مالک اپلیکیشن، سرورهای میزبان و مسیرهای ذخیره‌سازی داده‌ها شده است. با این حال، پس از برقراری تماس از سوی دیگل، سرویس اولیه‌ای که میزبان این برنامه بود، تمام داده‌ها را حذف کرده است. در سوی دیگر، سرویس جدیدی که این اپلیکیشن به آن منتقل شده، از اظهار نظر درباره وضعیت قانونی و امنیتی آن خودداری کرده است.

در واکنش به این موضوع، شرکت گوگل نیز اعلام کرده است که سامانه امنیتی Google Play Protect را به‌روزرسانی کرده تا ابزارهای مشابه Catwatchful را شناسایی و از فروشگاه Google Play حذف کند.