Telefonlarda gizli izleme imkanı sunduğu reklamı yapılan bir uygulamanın geliştiricisi, 62.000 kullanıcısına ait e-posta adresleri, açık metin şifreleri ve diğer hassas verileri açığa çıkardı. Catwatchful adıyla bilinen uygulamadaki bir güvenlik açığı sayesinde, kullanıcıların telefonlarını gizlice takip etmek için kullandıkları hesaplara ve tüm depolanan verilere erişim sağlandı.
SQL enjeksiyonu güvenlik açığı nedeniyle ortaya çıkan bu sızıntı, istismar eden herkesin hesaplara ve içlerindeki verilere erişmesine olanak tanıdı.
Durudurulamaz İddiası
Catwatchful'un yaratıcıları, uygulamanın gizliliğini ve güvenliğini sürekli vurguluyor. Tanıtımlarında uygulamanın yasal olduğu ve ebeveynlerin çocuklarının çevrimiçi aktivitelerini izlemesi için tasarlandığı iddia edilse de, gizliliğe yapılan aşırı vurgu, uygulamanın farklı amaçlarla da kullanılabileceği endişelerini beraberinde getirdi.
Uygulamayı tanıtan sayfalarda, "Catwatchful görünmezdir. Tespit edilemez. Kaldırılamaz. Durdurulamaz. Kapatılamaz. Topladığı bilgilere yalnızca siz erişebilirsiniz" gibi ifadeler yer alıyordu. Geliştiriciler, kullanıcıların "telefon sahipleri bilmeden mobil telefon izleme yazılımıyla bir telefonu izleyebileceğini. Uygulamanın telefonda görünmez ve tespit edilemez olduğunu. Gizli modda çalıştığını" belirtiyorlardı.
Yapılan incelemelerde, uygulamanın gerçekten de cihazlarda gizli kaldığı ve gerçek zamanlı olarak içerikleri bir web kontrol panelinden görüntülenebilecek şekilde yüklediği doğrulandı. Ancak uygulamanın gizli bir arka kapısı olduğu da ortaya çıktı. Bir kullanıcı telefon uygulaması klavyesine 543210 sayılarını girdiğinde uygulamanın kaldırılabildiği tespit edildi.
Sızan veriler sayesinde uygulama operatörleri ve onların güvendiği çevrimiçi hizmetler tespit edilebildi. Bir casus yazılım servisinin veritabanını ele geçirmek, geliştiricilerini belirlemek ve hizmetlerini sonlandıracaklarını iddia eden çeşitli bulut sağlayıcılarına bildirmek gibi eylemlere olanak sağladı.
Uygulamanın altyapısını barındıran bir web servisinin, durumun öğrenilmesinin ardından hizmetini sonlandırdığı bildirildi. Daha sonra, altyapının başka bir hosting sağlayıcısı tarafından barındırılmaya başlandığı anlaşıldı. Bu yeni sağlayıcının Catwatchful'un hizmet şartlarını ihlal edip etmediği konusunda henüz bir açıklama yapılmadı.
Google ise Android telefonlardaki kötü amaçlı uygulamaları tespit eden güvenlik aracı Google Play Protect için yeni korumalar ekledi. Bu güncellemeler, Catwatchful casus yazılımını veya onun yükleyicisini bir kullanıcının telefonunda otomatik olarak tespit edebilecek.
