Un téléphone méconnu L’application de surveillance appelée Xnspy a volé des données sur des dizaines de milliers d’iPhones et d’appareils Android, la majorité dont les propriétaires ignorent que leurs données ont été compromises.
Xnspy est l’une des nombreuses applications dites de stalkerware vendues sous prétexte de permettre à un parent de surveiller les activités de son enfant, mais sont explicitement commercialisées pour espionner les appareils d’un conjoint ou d’un partenaire domestique sans leur permission. Son site Web se vante « pour attraper un conjoint infidèle, vous avez besoin de Xnspy à vos côtés » et « Xnspy vous simplifie la création de rapports et l’extraction de données ».
Les applications Stalkerware, également appelées conjoints, sont installées subrepticement par une personne ayant un accès physique au téléphone d’une personne, contournant les protections de sécurité sur l’appareil, et sont conçues pour rester cachées des écrans d’accueil, ce qui les rend difficiles à détecter. Une fois installées, ces applications téléchargent silencieusement et en continu le contenu du téléphone d’une personne, y compris ses enregistrements d’appels, ses messages texte, ses photos, son historique de navigation et ses données de localisation précises, permettant à la personne qui a planté l’application un accès presque complet aux données de sa victime.
Mais de nouvelles découvertes montrent que de nombreuses applications de stalkerware sont criblées de failles de sécurité et exposent les données volées sur les téléphones des victimes. Xnspy n’est pas différent.
Chercheurs en sécurité Vangelis Stykas et Felipe Solférini passé des mois à décompiler plusieurs applications de stalkerware connues et à analyser les bords des réseaux auxquels les applications envoient des données. Leurs recherches, présentées à BSides à Londres ce mois-ci, ont identifié des failles de sécurité courantes et faciles à trouver dans plusieurs familles de stalkerwares, y compris Xnspy, telles que les informations d’identification et les clés privées laissées dans le code par les développeurs et un cryptage cassé ou inexistant. Dans certains cas, les failles exposent les données volées des victimes, qui se trouvent désormais sur les serveurs non sécurisés de quelqu’un d’autre.
Au cours de leurs recherches, Stykas et Solferini ont découvert des indices et des artefacts qui identifiaient les individus derrière chaque opération, mais ils ont refusé de partager les détails des vulnérabilités avec les opérateurs de stalkerware ou de divulguer publiquement des détails sur les failles de peur que cela ne profite aux pirates malveillants et plus loin. nuire aux victimes. Stykas et Solferini ont déclaré que toutes les failles qu’ils ont trouvées sont faciles à exploiter et existent probablement depuis des années.
D’autres ont pataugé dans des eaux juridiques plus troubles en exploitant ces vulnérabilités faciles à trouver dans le but apparent d’exposer les opérations de stalkerware comme une forme de vigilance. Un énorme cache de données internes provenant des serveurs de TheTruthSpy stalkerware et de ses applications affiliées et remis à TechCrunch plus tôt cette année nous a permis d’informer des milliers de victimes dont les appareils ont été compromis.
Depuis notre enquête sur TheTruthSpy, TechCrunch a obtenu d’autres caches de données de stalkerware, y compris de Xnspy, exposant leurs opérations et les individus qui profitent de la surveillance.
Les données consultées par TechCrunch montrent que Xnspy compte au moins 60 000 victimes remontant à 2014, y compris des milliers de nouvelles compromissions enregistrées aussi récemment qu’en 2022. La majorité des victimes sont des propriétaires d’Android, mais Xnspy dispose également de données provenant de milliers d’iPhones.
De nombreuses applications de stalkerware sont conçues pour Android car il est plus facile de planter une application malveillante que sur un iPhone, qui a des restrictions plus strictes sur les applications pouvant être installées et les données accessibles. Au lieu de planter une application malveillante, le stalkerware pour iPhone puise dans la sauvegarde d’un appareil stockée dans le service de stockage en nuage iCloud d’Apple.
Avec les informations d’identification iCloud d’une victime, le stalkerware télécharge continuellement la sauvegarde iCloud la plus récente de l’appareil directement à partir des serveurs d’Apple à l’insu du propriétaire. Les sauvegardes ICloud contiennent la majorité des données de l’appareil d’une personne, permettant au stalkerware de voler ses messages, photos et autres informations. L’activation de l’authentification à deux facteurs rend beaucoup plus difficile pour les personnes malveillantes de compromettre le compte en ligne d’une personne.
Les données que nous avons vues contiennent plus de 10 000 adresses e-mail et mots de passe iCloud uniques utilisés pour accéder aux données stockées dans le cloud d’une victime, bien que de nombreux comptes iCloud soient connectés à plusieurs appareils. De ce nombre, les données contiennent plus de 6 600 jetons d’authentification, qui avaient été activement utilisés pour exfiltrer les données des appareils des victimes du cloud d’Apple, bien que beaucoup aient expiré. Compte tenu de la possibilité d’un risque continu pour les victimes, TechCrunch a fourni la liste des informations d’identification iCloud compromises à Apple avant la publication.
Les données Xnspy que nous avons obtenues n’étaient pas chiffrées. Il comprenait également des informations qui démasquaient davantage les développeurs de Xnspy.
Konext est une petite startup de développement à Lahore, au Pakistan, dirigée par une douzaine d’employés, selon sa page LinkedIn. Le site Web de la startup indique que la startup est spécialisée dans les « logiciels sur mesure pour les entreprises qui recherchent des solutions tout-en-un » et affirme avoir créé des dizaines d’applications et de jeux mobiles.
Ce que Konext ne fait pas de publicité, c’est qu’il développe et maintient le stalkerware Xnspy.
Les données consultées par TechCrunch comprenaient une liste de noms, d’adresses e-mail et de mots de passe brouillés enregistrés exclusivement pour les développeurs et les employés de Konext pour accéder aux systèmes Xnspy internes.
Le cache comprend également les informations d’identification Xnspy d’un fournisseur de paiement tiers qui sont liées à l’adresse e-mail de l’architecte principal des systèmes de Konext, selon son LinkedIn, et qui serait le principal développeur à l’origine de l’opération de logiciel espion. D’autres développeurs de Konext ont utilisé des cartes de crédit enregistrées à leur propre adresse personnelle à Lahore pour tester les systèmes de paiement utilisés pour Xnspy et TrackMyFone, un clone Xnspy également développé par Konext.
Certains des employés de Konext sont situés à Chypre, selon les données.
Konext, comme d’autres développeurs de stalkerware, fait un effort concerté pour dissimuler ses activités et garder l’identité de ses développeurs à l’abri de la vue du public, susceptible de se protéger des risques juridiques et de réputation qui accompagnent la facilitation de la surveillance secrète à grande échelle. Mais les erreurs de codage laissées par les propres développeurs de Konext lient davantage son implication dans le développement de stalkerware.
TechCrunch a découvert que le site Web de Konext est hébergé sur le même serveur dédié que le site Web de TrackMyFone, ainsi que Serfolet, une entité basée à Chypre avec un site Web visiblement dépouillé, qui, selon Xnspy, traite les remboursements au nom de ses clients. Aucun autre site Web n’est hébergé sur le serveur.
TechCrunch a contacté l’architecte principal des systèmes de Konext par e-mail pour commentaires, à la fois sur ses adresses e-mail Konext et Xnspy. Au lieu de cela, une personne nommée Sal, dont l’adresse e-mail Konext figurait également dans les données mais a refusé de fournir son nom complet, a répondu à notre e-mail. Sal n’a ni contesté ni nié les liens de la société avec Xnspy dans une série d’e-mails avec TechCrunch, mais a refusé de commenter. Interrogé sur le nombre d’appareils compromis, Sal a semblé confirmer l’implication de son entreprise, déclarant dans un e-mail que « les chiffres que vous avez cités ne correspondent pas à ce que nous avons ». Lorsqu’on lui a demandé des éclaircissements, Sal n’a pas précisé.
Xnspy est la dernière d’une longue liste d’applications de stalkerware défectueuses : mSpy, Mobistealth, Flexispy, Family Orbit, KidsGuard et TheTruthSpy ont tous exposé ou compromis les données de leurs victimes ces dernières années.
Si vous ou quelqu’un que vous connaissez avez besoin d’aide, la National Domestic Violence Hotline (1-800-799-7233) fournit un soutien gratuit et confidentiel 24h/24 et 7j/7 aux victimes de violence domestique. Si vous êtes dans une situation d’urgence, appelez le 911. La Coalition Against Stalkerware dispose également de ressources si vous pensez que votre téléphone a été compromis par un logiciel espion. Vous pouvez contacter ce journaliste sur Signal et WhatsApp au +1 646-755-8849 ou [email protected] par e-mail.
Lire la suite: