Commerciële spyware-app lekt data duizenden slachtoffers
Een commerciële spyware-app gericht op ouders, werkgevers en wantrouwende partners heeft de data van duizenden slachtoffers via een verkeerd geconfigureerde server gelekt. De app in kwestie heet KidsGuard en maakt het mogelijk om de locatie te volgen, telefoongegevens en socialmediagebruik te controleren, berichten van allerlei chat-apps te lezen, screenshots en foto's te maken, gesprekken op te nemen en de surfgeschiedenis te bekijken.
Ook is het mogelijk om een keyloggerfunctie in te schakelen, alsmede alle bestanden op de telefoon te benaderen, zoals foto's en video's die het slachtoffer heeft gemaakt. Om de app op het toestel van een slachtoffer te installeren heeft een KidsGuard-gebruiker wel eerst fysieke toegang nodig. Het is niet nodig om het toestel te jailbreaken of rooten. Eenmaal geïnstalleerd doet de spyware zich op Android voor als een "system update" app en laat geen icoon zien, zodat het slachtoffer niet weet dat de spyware is geïnstalleerd.
Beveiligingsonderzoeker Till Kottmann ontdekte dat de app gegevens in een cloudbucket van internetgigant Alibaba opsloeg. Waarschijnlijk was de bucket, waar bedrijven allerlei data in kunnen opslaan, per ongeluk op openbaar gezet. Daarnaast was die niet met een wachtwoord beveiligd. Iedereen op internet had zo toegang tot de bucket en de bestanden daarin kunnen krijgen. De bucket is inmiddels gesloten, zo meldt TechCrunch. KidsGuard zou volgens de Amerikaanse burgerrechtenbeweging EFF op zo'n 3.000 telefoons zijn geïnstalleerd.
Van de app website:
"Keep Your Kids Safe
If you’re wondering what your kids are doing online with their cell phone, a parental control app like KidsGuard Pro will help you monitor your child’s every activity and keep them safe."
=> De kinderen die dit op hun telefoons geïnstalleerd krijgen lijken mij bepaald niet veilig voor hun ouders.
"Catch Your Cheating Spouse
KidsGuard Pro can give you a complete insight on your spouse’s iPhone, including who they are texting and where they are, and help you find out if your partner is cheating on you."
=> Aangezien installatie en gebruik van de app verborgen word gehouden: kan dit legaal zijn?
"Supervise Your Employees
This powerful iPhone tracker app can even be used for employee monitoring, allowing you to supervise each cell phone activity of your staff and track the productivity & performance of them."
=> Fijne werkgever die dit gebruikt tegen het personeel zeg. Dit lijkt mij zeker niet legaal, tenzij het van tevoren aan de werknemers in kwestie volledig duidelijk gemaakt wordt. Maar dan nog zegt het veel over de geestesgesteldheid van de werkgever.
Los van de juridische kant, je zet jezelf als gebruiker wel te kijk als duister en sinister.
(sarcasm off)
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
