Spoločnosť ESET vo svojom výskume, ktorý odprezentovala na prestížnej konferencii RSA, varuje pred pribúdajúcimi „stalkervérmi“. Ide o softvéry, ktoré tzv. stalker, teda sliedič, potajomky nainštaluje na mobilné zariadenie obete bez jej vedomia.
V roku 2019 telemetria spoločnosti ESET odhalila takmer 5-krát viac Android stalkervérov ako v roku 2018. V roku 2020 ich počet stúpol ešte o polovicu. Okrem toho štúdia spoločnosti ESET s názvom „Android Stalkerware Vulnerabilities“ poukázala na vážne zraniteľnosti v sledovacích aplikáciách pre Android a ich monitorovacích serveroch, ktoré môžu mať v prípade zneužitia pre používateľov za následok obrovské škody. Zistenia odprezentoval na konferencii RSA výskumník spoločnosti ESET Lukáš Štefanko.
Špehovacie aplikácie dokážu zaznamenávať prostredníctvom GPS súradníc polohu zariadenia, konverzácie používateľa, obrázky či históriu prehliadača. V snahe vyhnúť sa označeniu stalkervér, sa mnohé špehovacie aplikácie maskujú za platformy, ktoré údajne chránia deti, zamestnancov či ženy. Na ich stránkach sa však v mnohých prípadoch nachádza slovo špehovať. „Vyhľadať takéto nástroje na internete nie je vôbec náročné, nemusíte preto ísť ani na dark web,“ vysvetľuje Štefanko.
Nebezpečenstvo z rôznych strán
Výskumníci spoločnosti ESET manuálne analyzovali 86 špehovacích aplikácií pre platformu Android od 86 rôznych vývojárov. Počas analýzy identifikovali množstvo vážnych bezpečnostných nedostatkov a pochybení v ochrane súkromia. Tieto problémy môžu viesť až k prevzatiu kontroly nad sledovaným zariadením obete či zmocneniu sa účtu stalkera treťou stranou – útočníkom.
Takisto môže dôjsť k odchyteniu údajov o obeti, poškodeniu obete poskytnutím falošných dôkazov či spusteniu škodlivého kódu v zariadení obete na diaľku. V prípade 58 aplikácií ESET odhalil celkovo 158 nedostatkov, ktoré môžu mať pre obete závažné dôsledky. Riziko však hrozí dokonca aj samotným stalkerom a dodávateľom aplikácií.
Medzi najčastejšie problémy patrí nezabezpečený prenos osobných informácií slúžiacich na identifikovanie používateľov, ukladanie citlivých údajov na externých zariadeniach, vystavenie citlivých informácií o používateľoch neoprávneným osobám, serverové úniky dát klientov špehovacích aplikácií a neoprávnený prenos údajov zo zariadenia na server.
„Keď odhalíme chybu v nejakej službe, kontaktujeme poskytovateľa a čakáme so zverejnením 90 dní. Poskytovateľom spomínaných aplikácií sme zistené problémy opakovane nahlásili. Nápravu však vykonalo iba 6 z nich,“ prezradil Štefanko.