,有一个庞大的跟踪软件网络,正在通过具有重大安全漏洞的消费级间谍软件,收集着至少 40 万人的私人数据。
TechCrunch 所调查的跟踪软件网络,将自己显示为一组白名单内的,有着声称被美国公司所拥有的自主品牌和网站,但根据 TechCrunch 的调查,实则由一个叫做 1Byte 的越南公司所控制的安卓间谍软件。
消费级间谍软件之所以被称为“跟踪软件(stalkerware)”,是因为它能够在未经用户同意的情况下跟踪和监视人们,任何人只需进入目标设备片刻,就可以轻松安装上这种软件。它们通常以儿童跟踪软件或员工监控软件的名义上架,但常常被家庭虐待者用于监视其前任或现任伴侣。TechCrunch 领导了对间谍软件行业的,从而让公众了解,它们是如何被软件开发者和用户用于不道德目的的。
在 Whittaker 最新的 TechCrunch 报告中,他写道,迄今为止,在整个安卓间谍软件行列中,已发现九个都存在一个安全漏洞,允许“几乎不受限制地远程访问设备数据”。Whittaker 发现的漏洞,源于一类称为不安全直接对象引用(insecure direct object reference, IDOR)的漏洞,这是一种常见的网络应用程序漏洞,会由于安全控制不足,从而暴露服务器上的文件或数据。
Whittaker 表示,他试图通知软件开发者和后端托管间谍软件的 Codero 公司,但没有成功。因此,让受害者意识到这一点是极其重要的。
Whittaker 写道:“由于对该漏洞的快速修复不抱有期望,TechCrunch 现在正在披露更多关于间谍软件和其行为的信息,以便受感染设备的所有者能够自行在安全的情况下卸载间谍软件。”
卡内基梅隆大学软件工程研究所的漏洞披露中心 CERT/CC,已经发布了关于该问题的。
TechCrunch 确定了受感染的一些应用程序,它们在外观和操作上几乎完全相同,如 Copy9、MxSpy、TheTruthSpy、iSpyoo、SecondClone、TheSpyApp、ExactSpy、FoneTracker 和 GuestSpy。
TechCrunch 写了一篇文章,解释了。TechCrunch 警告说,删除跟踪软件可能会通知安装它的人,这可能会造成一种不安全的情形,因此请确保你已经制定了一份安全计划。访问 ,以获取有关制定安全计划的提示和其它相关资源。
作为运动的领导者,EFF 敦促联邦贸易委员会(FTC)对 1Byte 及其跟踪软件网络展开调查,以保护潜在的被跟踪目标和家庭虐待者,就像他们在类似案件中所做的那样。联邦贸易委员会去年禁止了安卓软件公司 及其首席执行官 Scott Zuckerman 从事其跟踪软件 SpyFone 的监控业务。在 EFF 及其网络安全主管 Eva Galperin 发起以打击和封禁恶意跟踪软件两年后,联邦贸易委员会对跟踪软件公司的第一次彻底禁令——Support King 案件发生了。此前,联邦贸易委员会对跟踪软件开发者采取的最有力行动涉及 2019 年的一项和解,该和解禁止了 分发其手机应用程序,直到它可以确保其应用程序仅用于“合法目的”。在他人的设备上安装隐藏的间谍软件以秘密监控他们的通信,可能会违反各种法律,包括《计算机欺诈和滥用法》(Computer Fraud and Abuse Act, CFAA)、窃听法和反跟踪法。