Программа Xnspy шпионила за тысячами айфонов и «андроидов»

Xnspy — это одно из многих так называемых приложений для мониторинга. Их преподносят как ПО для родителей, чтобы взрослые знали о действиях своего ребёнка. Но также ПО служит для слежки за устройствами других членов семьи и приятелей без их разрешения. Вот почему приложения такого типа известны как программы-преследователи (stalkerware) или супружеские программы. Веб-сайт Xnspy похвастался, что поможет уличить изменяющего супруга и что их ПО упрощает получение данных.


Такие программы тайно устанавливают имеющие физический доступ к чужому телефону. «Шпионы» не проявляют себя на экранах, поэтому их трудно заметить. После установки эти приложения будут автоматически и непрерывно загружать содержимое чужого телефона. ПО-преследователь предоставляет установившему приложение почти полный доступ к данным объекта слежки: записи звонков, текстовые сообщения, фотографии, историю посещённых сайтов и точные данные о местоположении.

Казалось бы, объектам слежки достаточно вести себя честно, и ничего страшного не случится. Однако новые результаты показывают, что во многих приложениях для мониторинга есть уязвимости — они раскрывают данные, украденные с телефонов жертв. И Xnspy в этом смысле ничем от подобных приложений не отличается.

Исследователи в области безопасности Вангелис Стикас и Фелипе Сольферини потратили месяцы на декомпиляцию нескольких известных приложений для слежки и анализ сетей, куда приложения отправляют данные. Их исследование выявило типичные недостатки безопасности в нескольких семействах ПО для мониторинга, включая Xnspy.

Выявленные уязвимости — учётные данные и закрытые ключи, оставленные разработчиками в коде, а также «поломки» и другие изъяны в шифровании. В некоторых случаях из-за таких недостатков были видны украденные данные жертв слежки, которые теперь хранятся на чужих небезопасных серверах.

В ходе исследования Стикас и Сольферини обнаружили подсказки и артефакты, которые указывали на стоящих за каждой операцией. Но они отказались делиться подробностями об уязвимостях с владельцами ПО для сталкинга или публично раскрывать подробности о недостатках из опасений ещё больше навредить тем, за кем шпионили пользователи ПО.

Данные, полученные TechCrunch, показывают, что у Xnspy не менее 60 тыс. жертв, начиная с 2014 года, включая тысячи новых утечек данных уже в 2022 году. Большинство жертв — владельцы гаджетов на Android, но у Xnspy также есть данные, полученные с тысяч айфонов.

Многие приложения для слежки созданы для Android, поскольку на них легче установить вредоносное ПО. У айфонов, казалось бы, более жёсткие ограничения на установку приложений и доступ к данным. Однако программы мониторинга для айфонов используют резервные копии устройств в облачном хранилище Apple iCloud.

Сведения, которые видели журналисты TechCrunch, содержат более 10 тыс. уникальных адресов электронной почты iCloud и паролей для доступа к облачным данным жертв. Там были списки имён, адресов электронной почты и зашифрованных паролей.

Причём Xnspy — это наиболее свежий пример в длинном списке некорректных приложений для слежки: mSpy, Mobistealth, Flexispy, Family Orbit, KidsGuard и TheTruthSpy, которые за последние годы раскрыли чужие данные или допустили утечки.