Včasih tudi največji tehnološki velikani potrebujejo nekaj več časa, da ukrepajo – tudi takrat, ko gre za očitno zlorabo njihovih platform. Google šele je po enem mesecu ustavil delovanje nadzorne programske opreme Catwatchful, ki je za svoje delovanje uporabljala kar Googlove strežnike.
Ta aplikacija, prikrita kot orodje za starševski nadzor, je dejansko služila za nadzor posameznikov – brez njihovega soglasja. Catwatchful je gostoval na Googlovem razvojnem okolju Firebase, kjer je hranil na tisoče ukradenih fotografij, sporočil in lokacijskih podatkov iz telefonov z operacijskim sistemom Android.
„Preiskali smo poročila o zlorabi in začasno ustavili projekte, ki so kršili pogoje naše storitve,“ je za TechCrunch potrdil tiskovni predstavnik Googla, Ed Fernandez.
Čeprav Googlovi pogoji izrecno prepovedujejo gostovanje zlonamerne kode, se je v primeru Catwatchful izkazalo, da od odkritja do ukrepanja lahko mine cel mesec. Google ni želel pojasniti razlogov za zamudo, a strokovnjaki opozarjajo, da imajo podjetja pogosto poslovni interes ohranjati uporabnike – tudi tiste, ki morda prestopijo meje zakonitosti.
Po podatkih omrežne analize, ki jo je opravil TechCrunch, Catwatchful trenutno ne deluje več. A škoda je bila že narejena.
Od aplikacije za „varnost otrok“ do digitalnega zalezovanja
Catwatchful se je predstavljal kot orodje za spremljanje otrok, a njegova prava narava je bila precej bolj sporna. Po namestitvi na napravo – kar je zahtevalo fizični dostop in geslo – je aplikacija izginila iz pogleda žrtve in začela v ozadju pošiljati vsebino na spletni nadzorni panel. Tam jo je lahko spremljala oseba, ki je aplikacijo namestila.
Tovrstne aplikacije se pogosto znajdejo pod oznako „stalkerware“, saj jih številni uporabniki izrabljajo za nezakonit nadzor partnerjev.
O tem, da Catwatchful sploh obstaja, je TechCrunch izvedel sredi junija, ko je varnostni raziskovalec Eric Daigle odkril hudo varnostno ranljivost – bazo podatkov, ki je bila odprta in nezaščitena. Dostop do nje ni zahteval nobenega gesla.
V notranjosti baze: več kot 62.000 e-poštnih naslovov in gesel uporabnikov v običajnem tekstu, skupaj z osebnimi podatki več kot 26.000 žrtev. Sledi so vodile do urugvajskega razvijalca Omarja Soca Charcova, ki pa se na vprašanja TechCruncha ni odzval.
Ker ni bilo nobenih znakov, da bi Charcov obvestil prizadete uporabnike, je TechCrunch vsebino baze delil s spletno storitvijo Have I Been Pwned, ki obvešča posameznike, če so bili njihovi podatki ogroženi.
Žal to ni osamljen primer
Catwatchful je le eden v dolgi vrsti vohunskih programov, ki so zadnja leta razkrili zasebne podatke uporabnikov. Samo letos gre za že peti takšen incident, TechCrunch pa beleži več kot 20 podobnih primerov od leta 2017.
Za tiste, ki sumijo, da je njihova naprava morda okužena s Catwatchful: obstaja način, da to preverite. Če na tipkovnici telefona vnesete kodo 543210 in pritisnete gumb za klic, se aplikacija – če je nameščena – razkrije, navaja Tech Crunch.
Pred odstranitvijo pa je priporočljivo pripraviti varnostno kopijo in po potrebi poiskati strokovno pomoč. Vdor v zasebnost ni zgolj neprijeten – je lahko tudi nevaren.
Foto: Pexels
