スパイウェアデータの漏洩方法

開発者が到達できるすべてのものを収集する膨大な量のさまざまなソフトウェアは、収集されたデータの安全性に関する実際の問題(他の倫理的および法的問題)を作成します。 非常に多くの場合、スパイウェア開発者はデータの収集に熱心であるため、安全なストレージについて考える時間がないため、データは単純に明確な状態にあります。



たとえば、「ベビー」iPhoneを追跡するために設計されたTeenSafeアプリは、AmazonのパブリッククラウドにAppleユーザーIDの電子メールアドレスとテキストパスワードを保存しました。 TeenSafeは、2つのAWSクラウドサーバー(Amazon S3)を使用して、親と子のメールアドレス(アプリケーションがインストールされているデバイスのApple IDに関連付けられたアドレス)、デバイス名と識別子、Apple IDアカウントのテキストパスワードを含むデータベースを保存しました子供。 データベースには10,200のエントリがありました。 この時点で最もデリケートなことは、TeenSafeでは、アプリケーションが使用されるデバイスのApple IDに対して2要素認証を無効にする必要があるということです。



また、iOSおよびAndroidベースの電話を追跡するためのアプリケーションを販売するSpyfoneは、誤って構成されたAmazon S3(AWS)サーバー上のパブリックドメインのSMS、通話、連絡先、テキストメッセージのオーディオ録音を含むテラバイトのデータを残しました。 発見の時点で、データベースには監視対象の電話が3666台、クライアントが2208台ありました。 さらに、SpyfoneはAPIの関数の1つを保護せずに残し、誰でもクライアントのリストを表示できるようにしました。



別の問題は、そのようなアプリケーションのデータが保存されるサーバーのセキュリティです。 たとえば、未知のハッカーがTheTruthSpyのサーバーをハッキングしました。TheTruthSpyは、スマートフォン所有者を追跡するためのiOSおよびAndroid用アプリケーションもリリースしています。 彼は、ログイン、パスワード、写真、音声通話、SMS、ジオロケーションデータ、チャット、およびTheTruthSpyソフトウェアがインストールされた電話で傍受されたその他のデータにアクセスできました。 合計で、1万を超える顧客アカウントが影響を受けました。 ハッキングの作者は、Androidアプリケーションコードを調べた結果、TheTruthSpyをハッキングできたと主張しています。これにより、いくつかの脆弱性が明らかになりました。 特に、TheTruthSpyサーバーは、クライアントIDの送信に応じて、アカウントのログインとパスワードをクリアテキストで返しました。



別のハッカーは、RackspaceサイトのFamily Orbitサーバーにアクセスし、スパイウェアによって収集された281ギガバイトの写真およびビデオ素材をダウンロードすることができました。 Family Orbitは、「子供」のスマートフォンを監視するために設計された別のアプリケーションです。 TheTruthSpyと同様に、Family Orbitアプリケーションでエラーが検出され、サーバーへのアクセスが容易になりました。 クラウドサーバーへのアクセスキーは、暗号化された形式ではありますが、アプリケーション自体に直接「接続」されていました。



さて、歴史の冠は、スマートフォンからデータを抽出するツールを製造するイスラエルの会社NSO Groupの元従業員であり、盗まれた会社コードを闇市場で5,000万ドルで売ろうとしたのです。 「DLPシステムを使用する」が、ありません。 ここでは何も助けになりません。 ある種のアプリケーション、特に子供に関する機密情報を信頼するときは、実際に「バルコニーに」保存できることを忘れないでください。



All Articles