Az ESET kutatása szerint a leggyakrabban használt androidos megfigyelő-kémkedő alkalmazások olyan sebezhetőségekkel vannak tele, amelyek nem csak az áldozatokra nézve jelentenek súlyos fenyegetést, de ezenfelül a zaklatók adatait és biztonságát is nagyban veszélyeztetik.

A mobilos megfigyelő-kémkedő alkalmazás, más néven "spouseware", azaz "házastárs vírus" egy olyan rejtett megfigyelő szoftver, amelyet a zaklató az áldozat tudta nélkül titokban telepít rá annak eszközére. Ehhez az elkövetőnek általában rövid időre fizikailag is hozzá kell férnie az áldozat eszközéhez, ezért a zaklatók gyakran az áldozat közeli családtagjai, esetleg ismeretségi vagy munkahelyi köréhez tartoznak.

"A mobilos megfigyelő appos kémkedés egyre gyakoribb fenyegetés, amelyet legálisan értékesítenek különböző webhelyeken. A telemetriai adatok szerint a megfigyelő-kémkedő app-észlelések száma 2020-ban mintegy 48 százalékkal emelkedett a 2019-es évhez képest. Kutatásunkban több, mint 80 ilyen androidos megfigyelő-kémkedő app családot vizsgáltunk meg, a biztonsági problémákra és a kódjukban lévő kihasználható adatvédelmi hibákra összpontosítva." - magyarázta Lukáš Štefanko, az ESET kutatója.

A megfigyelő-kémkedő app - többek között - leköveti az áldozat eszközének GPS-helyzetét, az áldozat beszélgetéseit, képeit és a böngészési előzményeit is. Emellett az összes adatot tárolja és azokat a kémkedő részére titokban továbbítja - ezért döntött úgy az biztonsági cég, hogy alaposabban megvizsgálja, miként kezelik az alkalmazások készítői az így megszerzett személyes adatokat. A gyártók úgy tudnak észrevétlenek maradni és elkerülni azt, hogy megfigyelő-kémkedő appként jelöljék meg a termékeiket, hogy sok esetben gyermekek, alkalmazottak vagy nők számára védelmet nyújtó "ártalmatlan" alkalmazásként aposztrofálják ezeket a programokat.

Ugyanakkor a weboldalaikon sokszor megjelenik a "kémkedés" szó is, tehát nem olyan nehéz megtalálni ezeket az online eszközöket - még csak nem is kell hozzá darkwebes vagy illegális oldalakat böngésznünk. Az alábbi képernyőkép az egyik legkellemetlenebb példája annak, amikor egy alkalmazás hamisan azt állítja, hogy a nők biztonsága érdekében kémkedik utánuk. A leírás szerint a nyomonkövetésükkel megelőzhető a nők megerőszakolása.

Mivel a megfigyelő-kémkedő alkalmazások etikailag megkérdőjelezhető viselkedésre ösztönözhetnek, a legtöbb mobilbiztonsági megoldás nemkívánatosként vagy károsként jelöli meg azokat. Tekintettel arra, hogy ezek az alkalmazások több információt gyűjtenek, tárolnak és továbbítanak, mint bármelyik másik, az áldozatok által telepített alkalmazások közül, a kutatók kíváncsiak voltak arra, hogy hogyan védik ezt a hatalmas mennyiségű, különösen bizalmas adatot.

A kutatók manuálisan vizsgálták meg 86 különböző gyártó 86 androidos megfigyelő-kémkedő applikációját: elemzésükben zaklatónak nevezik a megfigyelő-kémkedő appot telepítő, majd távolról megfigyelő és irányító személyt; a célszemélyre, akit a zaklató a vírussal titokban megfigyel, a leírásban áldozatként hivatkoznak. Támadónak pedig azt a harmadik felet nevezik, akiről általában sem a zaklatónak, sem az áldozatnak nincs tudomása. Ez a külső kibertámadó képes távolról kiaknázni a megfigyelő-kémkedő appok vagy más megfigyelő-szolgáltatások biztonsági- vagy adatvédelmi réseit, sebezhetőségeit.

Az elemzés során a kutatók számos súlyos biztonsági és adatvédelmi problémát azonosítottak, amelyeket kihasználva egy külső támadó át tudja venni az irányítást az áldozat eszközei felett, továbbá a zaklató fiókja felett is. Emellett könnyen megszerezheti az áldozat adatait, hamis bizonyítékokat tölthet fel az eszközére, amivel gyanúba keverheti, vagy távoli kódfuttatással akár tetszőleges parancsokat is végrehajthat a gyanútlan áldozat okostelefonján.

Az 58 Android-alkalmazás közül összesen 158 biztonsági és adatvédelmi problémát fedeztek fel, amelyek komoly fenyegetést jelentenek nem csak az áldozatra nézve, de még a zaklató, sőt esetenként maga az alkalmazás gyártója is bizonyos mértékű kockázatnak van kitéve.

Az ESET a biztonsági rések 90 napon belüli koordinált nyilvánosságra-hozatalával kapcsolatos irányelveinek megfelelően többszörösen is értesítette ezekről a problémákról az érintett gyártókat. Sajnos ezek közül eddig mindössze hat gyártó javította ki az alkalmazásaikban észlelt problémákat.

Negyvennégy gyártó egyáltalán nem válaszolt a megkeresésekre, hét pedig megígérte, hogy hamarosan megoldja a problémákat egy közelgő biztonsági javító frissítéssel. Emellett volt egy olyan gyártó is, amelyik úgy döntött, hogy egyáltalán nem javítja ki a jelzett problémákat.

A kutatás figyelmeztetésként szolgálhat a stalkerware szoftverek felhasználói számára, mivel házastársaik, szeretteik, munkatársaik titkos alkalmazásokkal való ellenőrzése nemcsak etikátlan, de ráadásul ezzel még el is lophatják a résztvevők személyes és bizalmas információit, illetve kibertámadás és csalás áldozataivá is válhatnak.

Mivel szoros kapcsolat állhat fenn a zaklató és az áldozat között, a zaklató privát információi is könnyen kiszivároghatnak. A kutatásból emellett még az is kiderül, hogy néhány megfigyelő-kémkedő app az alkalmazást használó zaklató adatait is eltárolja, valamint azután is tovább gyűjti az áldozatok adatait, hogy a zaklató már kérte az adatok törlését.

Mindez csak egy kis részlete a kutatás tanulságainak, a teljes átfogó jelentés, angol nyelven az alábbi linkre kattintva érhető el.