Ứng dụng giám sát lén lộ mật khẩu 62.000 người dùng

Một lỗ hổng bảo mật nghiêm trọng vừa bị phát hiện trong Catwatchful, ứng dụng được quảng cáo có khả năng theo dõi mọi hoạt động trên thiết bị Android mà người dùng mục tiêu không hề hay biết. Eric Daigle, một nhà nghiên cứu bảo mật, đã tìm ra lỗ hổng SQL injection cho phép ông truy cập và tải xuống kho dữ liệu chứa email, mật khẩu ở dạng văn bản thuần (plain-text) cùng nhiều thông tin nhạy cảm khác của 62.000 tài khoản người dùng.

Ứng dụng Catwatchful được quảng bá với mục đích giám sát con cái. Tuy nhiên, chính cách nó nhấn mạnh vào khả năng hoạt động bí mật tuyệt đối đang khiến các chuyên gia an ninh mạng lo ngại rằng nó có thể bị lạm dụng cho mục đích theo dõi bất hợp pháp.

Trên trang quảng bá Catwatchful, hãng phát triển khẳng định:

“Catwatchful hoàn toàn vô hình. Không thể bị phát hiện. Không thể bị gỡ cài đặt. Không thể bị dừng lại. Chỉ có bạn mới có thể truy cập thông tin mà ứng dụng thu thập.”

Công ty này còn nhấn mạnh:

“Bạn có thể giám sát điện thoại mà người sở hữu không hề hay biết. Ứng dụng hoạt động ở chế độ ẩn và không thể phát hiện.”

Ranh giới mờ giữa giám sát hợp pháp và gián điệp

Dù Catwatchful tự nhận là phần mềm hợp pháp phục vụ phụ huynh quản lý con cái, nhưng những tuyên bố như “không thể bị phát hiện” hay “chỉ mình bạn truy cập được dữ liệu” lại mang hơi hướng của một phần mềm stalkerware (phần mềm gián điệp theo dõi cá nhân). Những phần mềm này thường bị lạm dụng trong các mối quan hệ độc hại, hoặc thậm chí để theo dõi lén người khác trái phép.

Eric Daigle cho biết Catwatchful thực sự có khả năng ẩn mình trên điện thoại, âm thầm tải dữ liệu lên bảng điều khiển trực tuyến theo thời gian thực, nơi người cài đặt có thể xem mọi thông tin mà không bị phát hiện. Tuy nhiên, theo báo cáo của TechCrunch, ứng dụng này lại tồn tại một “cửa sau” bí mật cho phép gỡ bỏ cài đặt nếu người dùng nhập dãy số 543210 ngay trên bàn phím điện thoại.

Hé lộ kẻ đứng sau

Ngoài việc tải được dữ liệu người dùng, Daigle cho biết những dữ liệu rò rỉ còn giúp ông xác định được danh tính những cá nhân đứng sau Catwatchful và các dịch vụ trực tuyến mà nhóm phát triển này sử dụng để duy trì hạ tầng ứng dụng.

“Khai thác được cơ sở dữ liệu của một dịch vụ stalkerware giúp bạn làm được rất nhiều thứ thú vị, như xác định kẻ đứng sau và báo cáo họ với các nhà cung cấp dịch vụ đám mây – những đơn vị luôn tuyên bố sẽ mạnh tay gỡ bỏ phần mềm gián điệp,” Daigle chia sẻ.

TechCrunch cho biết sau khi liên hệ, dịch vụ lưu trữ web từng cung cấp hạ tầng cho Catwatchful đã chấm dứt hợp tác. Sau đó, HostGator – một nhà cung cấp hosting khác – lại bắt đầu lưu trữ hạ tầng cho Catwatchful. Hiện tại, HostGator chưa phản hồi về việc liệu Catwatchful có vi phạm điều khoản dịch vụ của họ hay không.

Google vào cuộc

Vụ việc của Catwatchful một lần nữa làm nổi bật những rủi ro từ các phần mềm theo dõi lén. Để đối phó, Google đã bổ sung các tính năng bảo vệ mới cho Google Play Protect, công cụ bảo mật tích hợp sẵn trên Android. Các tính năng này cho phép phát hiện Catwatchful hoặc bộ cài đặt của nó trên điện thoại người dùng, từ đó giúp ngăn chặn người dùng vô tình trở thành nạn nhân của phần mềm gián điệp.

Vụ rò rỉ dữ liệu này không chỉ đe dọa quyền riêng tư của hàng chục ngàn người dùng, mà còn đặt ra câu hỏi quan trọng: Liệu có thể kiểm soát ranh giới giữa giám sát hợp pháp và gián điệp kỹ thuật số, khi các công cụ giám sát được thiết kế để vô hình tuyệt đối?