image

Android-stalkerware lekt data 400.000 telefoons via IDOR-kwetsbaarheid

woensdag 23 februari 2022, 14:16 door Redactie, 7 reacties

Een netwerk van verschillende stalkerware-apps voor Android lekken door middel van een IDOR-kwetsbaarheid de gegevens van zo'n 400.000 smartphones. Hoewel de verantwoordelijke leverancier is ingelicht is het probleem nog altijd onopgelost, zo laat TechCrunch weten.

Stalkerware is de benaming voor commercieel verkrijgbare software waarmee smartphone- en computergebruikers zijn te bespioneren. De software wordt zonder medeweten van het slachtoffer op zijn of haar telefoon of computer geïnstalleerd en geeft de gebruiker onder andere toegang tot ontvangen en verstuurde berichten, locatie, foto's en andere data van het slachtoffer.

TechCrunch ontdekte negen identieke stalkerware-apps genaamd Copy9, MxSpy, TheTruthSpy, iSpyoo, SecondClone, TheSpyApp, ExactSpy, FoneTracker en GuestSpy die van dezelfde serverinfrastructuur gebruikmaken. Gebruikers van de stalkerware kunnen via deze servers informatie opvragen die over slachtoffers is verzameld. De hiervoor gebruikte API-requests worden echter onvoldoende geauthenticeerd of geautoriseerd wat tot een IDOR-kwetsbaarheid leidt.

IDOR staat voor Insecure direct object references. Dit soort beveiligingslekken doet zich voor wanneer een webapplicatie of API een identifier gebruikt om een object in een database op te vragen zonder authenticatie of andere vorm van toegangscontrole. Door de kwetsbaarheid kan een aanvaller zonder enige inloggegevens persoonlijke informatie benaderen die via de stalkerware-apps is verzameld, zo meldt het het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit. Exacte details over het lek zijn niet bekendgemaakt. Volgens TechCrunch gaat het om 400.000 smartphones. De website waarschuwde het verantwoordelijke softwarebedrijf maar kreeg geen reactie.

Ondanks de eenvoud van IDOR-kwetsbaarheden komen die nog altijd geregeld voor. Zo kreeg de Infectieradar van het RIVM met een IDOR-kwetsbaarheid te maken waardoor vertrouwelijke gegevens van deelnemers voor derden toegankelijk waren. De webwinkel van Blokker lekte op deze manier klantgegevens en bij een Weens bedrijf zorgde een IDOR-kwetsbaarheid ervoor dat de uitslagen van 136.000 coronatests lekten. Een IDOR-kwetsbaarheid zorgde bij Belastingsamenwerking West-Brabant ervoor dat de gegevens van een onbekend aantal belastingplichtigen in de regio lekten en Britse gemeenten en districten lekten op deze manier privégegevens van duizenden Britten met een belastingschuld.

Reacties (7)
23-02-2022, 14:52 door Anoniem
In dit artikel wordt gezegd dat gegevens van diverse instanties door de IDOR-kwetsbaarheid lekten. Dit is volgens mij feitelijk onjuist, het lekken was mogelijk en kan ook niet uitgesloten worden, maar of er daadwerkelijk gegevens gelekt zijn staat ook niet vast. Een security researcher die roept dat gegevens gelekt zijn is daar dan vast zelf schuldig aan.
23-02-2022, 15:10 door Anoniem
En Stalkerware is verboden in Nederland.
23-02-2022, 15:37 door Anoniem
Door Anoniem: In dit artikel wordt gezegd dat gegevens van diverse instanties door de IDOR-kwetsbaarheid lekten. Dit is volgens mij feitelijk onjuist, het lekken was mogelijk en kan ook niet uitgesloten worden, maar of er daadwerkelijk gegevens gelekt zijn staat ook niet vast. Een security researcher die roept dat gegevens gelekt zijn is daar dan vast zelf schuldig aan.

Bij IDOR is data, die afgeschermd hoort te zijn, voor iedereen toegankelijk. Dan is er sprake van een datalek. En kun je dus zeggen dat bedrijf XYZ data lekt.
23-02-2022, 17:17 door Rubbertje
De software wordt zonder medeweten van het slachtoffer op zijn of haar telefoon of computer geïnstalleerd (...)

Hoe gebeurt dat? Moet het slachtoffer daar zelf een handeling voor verrichten? Bijvoorbeeld een attachment openen of op een link klikken?
23-02-2022, 17:41 door Anoniem
Door Rubber Bug: Hoe gebeurt dat? Moet het slachtoffer daar zelf een handeling voor verrichten?

Daar kan een handeling van het slachtoffer zelf voor nodig zijn, maar dat hoeft niet per se. Dat hangt af van het motief en hoe diep de portemonnee van de dader is, want spyware die met zero-clicks werkt, zoals Pegasus, is erg duur.

Bijvoorbeeld een attachment openen of op een link klikken?

De achterdochtige echtgenoot of onbetrouwbare vriend(in) zet dit soort volg programma's meestal heimelijk op het mobieltje van het slachtoffer. Dit soort malafide apps staan gewoon in de app store, andere zijn ondergronds verkrijgbaar.
19-04-2022, 14:04 door Rubbertje
Door Anoniem:
Door Rubber Bug: Hoe gebeurt dat? Moet het slachtoffer daar zelf een handeling voor verrichten?

Daar kan een handeling van het slachtoffer zelf voor nodig zijn, maar dat hoeft niet per se.

Dat blijft dus de vraag.
19-04-2022, 14:04 door Rubbertje
Door Anoniem:
Door Rubber Bug: Hoe gebeurt dat? Moet het slachtoffer daar zelf een handeling voor verrichten?

Daar kan een handeling van het slachtoffer zelf voor nodig zijn, maar dat hoeft niet per se.

Dat blijft dus de vraag.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.