Một lỗ hổng bảo mật nghiêm trọng đã làm lộ thông tin xác thực của hơn 62.000 người dùng của Catwatchful, một ứng dụng spyware Android đầy đủ tính năng được quảng bá công khai như một công cụ giám sát bí mật.
Sự cố rò rỉ này, được một nhà nghiên cứu bảo mật phát hiện, làm nổi bật những rủi ro dai dẳng do stalkerware gây ra và mối nguy hiểm của việc lưu trữ dữ liệu người dùng nhạy cảm mà không có các biện pháp bảo vệ đầy đủ.
Giới Thiệu về Catwatchful Spyware
Catwatchful là một ứng dụng Android được thiết kế để giám sát các thiết bị mà không cần người dùng thiết bị đó biết. Không giống như nhiều ứng dụng tương tự thường bán lại các nền tảng spyware hiện có, Catwatchful vận hành cơ sở hạ tầng của riêng mình và cung cấp bản dùng thử miễn phí ba ngày.
Tài liệu tiếp thị của ứng dụng này đặc biệt rõ ràng và táo bạo, tự hào về “sự tàng hình tuyệt đối” và hứa hẹn rằng ứng dụng “vô hình, không thể bị phát hiện và không thể gỡ cài đặt hoặc dừng lại”. Thậm chí, phần Câu hỏi thường gặp (FAQ) của ứng dụng còn đảm bảo với khách hàng tiềm năng rằng nó có thể giám sát điện thoại mà chủ sở hữu không hề hay biết.
Việc Catwatchful công khai quảng bá khả năng giám sát bí mật, cùng với những tuyên bố về khả năng không thể gỡ cài đặt hay phát hiện, đã đặt ra những lo ngại nghiêm trọng về đạo đức và pháp lý. Bản chất của một ứng dụng được thiết kế để theo dõi người khác mà không có sự đồng ý của họ, hay còn gọi là stalkerware, đã tạo ra một môi trường rủi ro cao cho dữ liệu người dùng mà nó thu thập và lưu trữ.
Khám Phá Lỗ Hổng Bảo Mật
Cuộc điều tra của nhà nghiên cứu bắt đầu bằng việc tạo một tài khoản thử nghiệm. Quá trình này đã tiết lộ rằng Catwatchful đăng ký người dùng ở cả một thể hiện Firebase và một backend tùy chỉnh được lưu trữ tại tên miền catwatchful.pink. Việc sử dụng hai nền tảng lưu trữ dữ liệu khác nhau cho các mục đích khác nhau (Firebase cho dữ liệu thu thập được từ thiết bị giám sát và backend tùy chỉnh cho thông tin tài khoản người dùng) là một yếu tố quan trọng trong việc hiểu cấu trúc bảo mật của ứng dụng.
Sau khi cài đặt ứng dụng Catwatchful, ứng dụng này yêu cầu các quyền truy cập mở rộng và tự ngụy trang thành một ứng dụng hệ thống để tránh bị phát hiện. Nhà nghiên cứu đã phát hiện ra rằng tất cả dữ liệu được thu thập từ thiết bị mục tiêu — bao gồm ảnh, bản ghi âm và nhiều loại dữ liệu nhạy cảm khác — đều được lưu trữ trong Firebase. Dữ liệu này sau đó được quản lý và truy cập thông qua một bảng điều khiển web dành cho người dùng.
Tuy nhiên, lỗ hổng bảo mật thực sự và nghiêm trọng nhất lại nằm ở backend tùy chỉnh của Catwatchful, không phải ở phần lưu trữ dữ liệu trong Firebase. Mặc dù Firebase có thể được cấu hình không đúng cách, nhưng lỗ hổng cốt lõi trong trường hợp này liên quan đến cách ứng dụng xử lý các tương tác với cơ sở dữ liệu người dùng của chính nó.
Chi Tiết Kỹ Thuật Lỗ Hổng SQL Injection
API PHP của ứng dụng, được sử dụng để quản lý tài khoản người dùng và thiết bị, đã được xác định là dễ bị tấn công bởi một kiểu tấn công kinh điển: SQL Injection.
Tấn công SQL Injection xảy ra khi một kẻ tấn công có thể chèn hoặc “tiêm” các lệnh SQL độc hại vào các truy vấn mà ứng dụng gửi đến cơ sở dữ liệu. Điều này thường xảy ra khi dữ liệu đầu vào của người dùng không được xác thực hoặc làm sạch đúng cách trước khi được đưa vào một truy vấn SQL. Kết quả là, kẻ tấn công có thể thực thi các lệnh SQL không mong muốn, cho phép họ đọc, sửa đổi hoặc xóa dữ liệu trong cơ sở dữ liệu, hoặc thậm chí thực hiện các thao tác quản trị.
Bằng cách khai thác lỗ hổng này, nhà nghiên cứu đã có thể truy cập toàn bộ cơ sở dữ liệu người dùng của Catwatchful. Dữ liệu bị lộ bao gồm:
- Địa chỉ email của người dùng
- Mật khẩu dạng plaintext (không được mã hóa hoặc băm)
Tổng cộng, hơn 62.000 tài khoản đã bị ảnh hưởng bởi lỗ hổng này, với thông tin xác thực nhạy cảm bị phơi bày hoàn toàn.
Hậu Quả và Rủi Ro Tiềm Tàng
Cơ sở dữ liệu bị lộ không chỉ chứa thông tin xác thực của người dùng mà còn chứa thông tin liên kết các tài khoản với các thiết bị đang được giám sát. Điều này có nghĩa là bất kỳ ai có quyền truy cập vào cơ sở dữ liệu đều có khả năng thực hiện những hành động nghiêm trọng sau:
- Chiếm quyền điều khiển bất kỳ tài khoản Catwatchful nào: Với email và mật khẩu dạng plaintext, kẻ tấn công có thể đăng nhập vào tài khoản của khách hàng Catwatchful.
- Truy cập dữ liệu cá nhân nhạy cảm: Sau khi chiếm đoạt tài khoản, kẻ tấn công có thể truy cập tất cả dữ liệu đã thu thập từ các thiết bị mục tiêu của người dùng đó (ví dụ: ảnh, bản ghi âm, tin nhắn).
- Làm tổn hại thêm quyền riêng tư: Lỗ hổng này không chỉ đe dọa quyền riêng tư của những người đang bị giám sát mà còn của chính những người đã mua và sử dụng dịch vụ Catwatchful, những người tin rằng dữ liệu của họ được an toàn.
Sự cố rò rỉ dữ liệu Catwatchful một lần nữa nhấn mạnh những rủi ro cố hữu của stalkerware. Những công cụ được thiết kế để giám sát bí mật thường lại được bảo mật rất kém, đẩy tất cả những người liên quan vào nguy cơ bị xâm phạm nghiêm trọng. Việc hàng ngàn thông tin xác thực bị phơi bày là một lời nhắc nhở rõ ràng rằng ngay cả những công cụ được quảng cáo là “tàng hình” và “không thể phát hiện” cũng có thể ẩn chứa những lỗ hổng bảo mật nghiêm trọng, đe dọa quyền riêng tư và an toàn của mọi bên liên quan.
