פגיעויות משמעותיות באפליקציות מעקב פופולריות באנדרואיד

אפליקציות מעקב (Stalkerware) שנועדו לעקוב אחר בני-בנות זוג רומנטיים, בלא ידיעתן.ם לא מצליחות לאבטח את המידע שנאסף במהלך השימוש בהן, כך לפי מחקר חדש של ESET.

אפליקציות מעקב שכאלו משווקות לרוב כאפליקציות לבקרת הורים, או ניטור עובדים. הן יכולות לעקוב אחר מיקום היעד, הודעות טקסט, שיחות טלפון והמצלמה – וכל זאת בלא אישור של היעד הנעקב.

ממצאי המחקר הוצגו בכנס RSA הווירטואלי שהסתיים בסוף השבוע. חוקרי ESET בחנו 86 יישומים שכאלה ואיתרו יותר מ-158 בעיות אבטחה ופרטיות. בעיית האבטחה העיקרית שנצפתה היא העברה לא מאובטחת של מידע, אשר מאפשרת לגורמים חיצוניים ליירט הודעות טקסט, יומני שיחות, רשימות אנשי קשר, מעקב הקלדות, היסטוריית גלישה, שיחות טלפון מוקלטות, תמונות וצילומי מסך.

עוד בעיות אבטחה שהתגלו הן אחסון מידע רגיש במדיה חיצונית וחשיפת נתונים, כמו הודעות פייסבוק, וואטספ ומיקומי GPS – לגורמים לא מורשים. חלק מהאפליקציות אפילו מאפשרות שידור חי מרחוק של וידיאו ושמע באופן בלתי מורשה, כמו גם שמירת נתונים בשרתים – גם לאחר הסרת החשבון.

חברת אבטחת המידע דיווחה ל-57 ספקים על אודות הפגיעויות, אולם רק שישה מהם טיפלו בהן; שבעה ספקים נוספים הבטיחו לטפל, ו-44 אחרים לא השיבו כלל. ספק אחד החליטה שלא לתקן את הבעיות המדווחות.

חוקרי ESET מציינים, כי ממצאי המחקר שלהם יכולים להרתיע משימוש בתוכנות מסוג זה, מעצם היותן לא בטוחות לנעקב, אך גם לעוקב עצמו. מלבד העובדה כי הכלים הללו אינם אתיים, הם עלולים לחשוף מידע פרטי ואינטימי על בני זוג, ילדים ועובדים, אבל גם על העוקב עצמו.