El stalkerware de Android amenaza aún más a las víctimas y expone a los propios fisgones


La investigación de ESET revela que las aplicaciones comunes de stalkerware de Android están plagadas de vulnerabilidades que ponen en peligro aún más a las víctimas y exponen la privacidad y seguridad de los propios fisgones.

El stalkerware móvil, también conocido como spouseware, es un application de monitoreo que un acosador instala silenciosamente en el dispositivo de una víctima sin el conocimiento de la víctima. Por lo general, el acosador necesita tener acceso físico al dispositivo de la víctima para descargar el program del acosador. Debido a esto, los acosadores suelen ser personas de los círculos familiares, sociales o laborales cercanos de sus víctimas.

Según nuestra telemetría, las aplicaciones de stalkerware se han vuelto cada vez más populares en los últimos años. En 2019, vimos casi cinco veces más detecciones de stalkerware de Android que en 2018, y en 2020 hubo un 48% más que en 2019. Stalkerware puede rastrear la ubicación GPS del dispositivo de una víctima, conversaciones, imágenes, historial del navegador y más. También almacena y transmite todos estos datos, por lo que decidimos analizar forense cómo estas aplicaciones manejan la protección de los datos.

Figura 1. Según nuestra telemetría de detección, el uso de stalkerware de Android está aumentando

Para que los proveedores de stalkerware permanezcan fuera del radar y eviten ser marcados como stalkerware, sus aplicaciones en muchos casos se promocionan como una protección para niños, empleados o mujeres, sin embargo, la palabra «espía» se united states muchas veces en sus sitios world-wide-web. Buscar estas herramientas en línea no es nada difícil no es necesario que navegue por sitios net clandestinos. La captura de pantalla a continuación muestra quizás el ejemplo más desagradable de un reclamo que estas aplicaciones monitorean a las mujeres por su seguridad.

Transmisión insegura de la PII del usuario (CWE-200) Almacenamiento de información confidencial en medios externos (CWE-922) Exposición de información confidencial del usuario a un usuario no autorizado (CWE-200) Fuga del servidor de información del cliente de stalkerware (CWE-200) Transmisión de datos no autorizada desde el dispositivo al servidor Asignación de permisos incorrecta para dispositivos con privilegios de superusuario (CWE-732) Verificación insuficiente de los datos cargados por el cliente (CWE-345) Autorización incorrecta de los comandos SMS (CWE-285) Omitir el pago para acceder a la consola de administración (CWE-284) Inyección de comandos ( CWE-926) Aplicación de una contraseña de registro débil (CWE-521) Falta de cifrado de contraseña adecuado (CWE-326) Datos de la víctima guardados en el servidor después de la eliminación de la cuenta Fuga de información confidencial durante la comunicación del IPC (CWE-927) Acceso parcial a la consola de administración (CWE- 285) Transmisión en vivo remota de video y audio desde el dispositivo de la víctima (CWE-284) Ejecutando como aplicación del sistema Fuga de código fuente y credenciales de súper administrador (CWE-200)

Figura 2. El reclamo de una aplicación de stalkerware para monitorear a las mujeres supuestamente por su seguridad

Más de 150 problemas de seguridad en 58 aplicaciones de stalkerware de Android

Por lo menos, las aplicaciones de stalkerware fomentan un comportamiento claramente cuestionable desde el punto de vista ético, lo que lleva a la mayoría de las soluciones de seguridad móvil a marcarlas como indeseables o dañinas. Sin embargo, dado que estas aplicaciones acceden, recopilan, almacenan y transmiten más información que cualquier otra aplicación que hayan instalado sus víctimas, nos interesó saber qué tan bien estas aplicaciones protegen esa cantidad de datos especialmente sensibles.

Por lo tanto, analizamos manualmente 86 aplicaciones de stalkerware para la plataforma Android, proporcionadas por 86 proveedores diferentes. En este análisis definimos como acosador a una persona que instala y monitorea o controla remotamente stalkerware. Una víctima es una persona objetivo a la que un acosador espía a través del application de acosador. Finalmente, un atacante es un tercero del que el acosador y la víctima generalmente no son conscientes. Un atacante puede llevar a cabo acciones como explotar problemas de seguridad o fallas de privacidad en stalkerware o en sus servicios de monitoreo asociados.

Este análisis identificó muchos problemas graves de seguridad y privacidad que podrían provocar que un atacante tomara el regulate del dispositivo de una víctima, se hiciera cargo de la cuenta de un acosador, interceptara los datos de la víctima, incriminara a la víctima cargando pruebas falsas o logrando la ejecución remota de código en el teléfono inteligente de la víctima . En 58 de estas aplicaciones de Android, descubrimos un total de 158 problemas de seguridad y privacidad que pueden tener un impacto grave en una víctima de hecho, incluso el acosador o el proveedor de la aplicación pueden correr algún riesgo.

Siguiendo nuestros 90 días política de divulgación coordinada, informamos repetidamente de estos problemas a los proveedores afectados. Desafortunadamente, hasta el día de hoy, solo seis proveedores han solucionado los problemas que informamos en sus aplicaciones. Cuarenta y cuatro proveedores no han respondido y siete prometieron solucionar sus problemas en una próxima actualización, pero aún no han publicado actualizaciones parcheadas al momento de escribir este artículo. Un proveedor decidió no solucionar los problemas informados.

Problemas de seguridad y privacidad descubiertos

Los 158 problemas de seguridad y privacidad en 58 aplicaciones de stalkerware se ordenan en función de la prevalencia de incidencias encontradas en el stalkerware analizado.

Figura 3. Desglose de los problemas de seguridad y privacidad descubiertos en esta investigación

Quitar

La investigación debe servir como una advertencia a los futuros clientes potenciales de stalkerware para que reconsideren el uso de program contra sus cónyuges y seres queridos, ya que no solo es poco ético, sino que también puede resultar en revelar la información privada e íntima de sus cónyuges y dejarlos en riesgo. de ciberataques y fraudes. Dado que podría haber una relación cercana entre el acosador y la víctima, la información privada del acosador también podría quedar expuesta. Durante nuestra investigación, identificamos que algunos stalkerware mantienen información sobre los acosadores que usan la aplicación y recopilaron los datos de sus víctimas en un servidor, incluso después de que los acosadores solicitaron la eliminación de los datos.

Esto es solo una instantánea de lo que encontramos durante nuestra investigación, por lo que lo invitamos a leer el artículo completo.





Enlace a la noticia initial