Een netwerk van verschillende stalkerware-apps voor Android lekken door middel van een IDOR-kwetsbaarheid de gegevens van zo'n 400.000 smartphones. Hoewel de verantwoordelijke leverancier is ingelicht is het probleem nog altijd onopgelost, zo laat TechCrunch weten.
Stalkerware is de benaming voor commercieel verkrijgbare software waarmee smartphone- en computergebruikers zijn te bespioneren. De software wordt zonder medeweten van het slachtoffer op zijn of haar telefoon of computer geïnstalleerd en geeft de gebruiker onder andere toegang tot ontvangen en verstuurde berichten, locatie, foto's en andere data van het slachtoffer.
TechCrunch ontdekte negen identieke stalkerware-apps genaamd Copy9, MxSpy, TheTruthSpy, iSpyoo, SecondClone, TheSpyApp, ExactSpy, FoneTracker en GuestSpy die van dezelfde serverinfrastructuur gebruikmaken. Gebruikers van de stalkerware kunnen via deze servers informatie opvragen die over slachtoffers is verzameld. De hiervoor gebruikte API-requests worden echter onvoldoende geauthenticeerd of geautoriseerd wat tot een IDOR-kwetsbaarheid leidt.
IDOR staat voor Insecure direct object references. Dit soort beveiligingslekken doet zich voor wanneer een webapplicatie of API een identifier gebruikt om een object in een database op te vragen zonder authenticatie of andere vorm van toegangscontrole. Door de kwetsbaarheid kan een aanvaller zonder enige inloggegevens persoonlijke informatie benaderen die via de stalkerware-apps is verzameld, zo meldt het het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit. Exacte details over het lek zijn niet bekendgemaakt. Volgens TechCrunch gaat het om 400.000 smartphones. De website waarschuwde het verantwoordelijke softwarebedrijf maar kreeg geen reactie.
Ondanks de eenvoud van IDOR-kwetsbaarheden komen die nog altijd geregeld voor. Zo kreeg de Infectieradar van het RIVM met een IDOR-kwetsbaarheid te maken waardoor vertrouwelijke gegevens van deelnemers voor derden toegankelijk waren. De webwinkel van Blokker lekte op deze manier klantgegevens en bij een Weens bedrijf zorgde een IDOR-kwetsbaarheid ervoor dat de uitslagen van 136.000 coronatests lekten. Een IDOR-kwetsbaarheid zorgde bij Belastingsamenwerking West-Brabant ervoor dat de gegevens van een onbekend aantal belastingplichtigen in de regio lekten en Britse gemeenten en districten lekten op deze manier privégegevens van duizenden Britten met een belastingschuld.
Deze posting is gelocked. Reageren is niet meer mogelijk.