Вразливість Android-додатку: 62,000 облікових даних під загрозою через SQL-ін’єкцію

Огляд

Дослідник Ерік Дейгл нещодавно виявив критичну уразливість SQL-ін’єкції в додатку для моніторингу Android Catwatchful, яка призвела до витоку електронних адрес, паролів у відкритому вигляді та іншої чутливої метаданих понад 62,000 зареєстрованих користувачів. Хоча додаток рекламується батькам для «законного» контролю за дітьми, його прихований дизайн викликає серйозні занепокоєння щодо конфіденційності та можливого зловживання.

Технічний аналіз уразливості SQL-ін’єкції

Дейгл виявив, що API-інтерфейс програми /api/get_user_data не очищав параметр user_id, що дозволяло зловмисникам додавати довільні SQL-запити. Наприклад, завантаження коду 1 OR 1=1 повертало всю таблицю users. База даних працювала на MySQL 5.7 з конфігурацією за замовчуванням і без веб-додаткового брандмауера (WAF).

• Валідація введення: Відсутня як на стороні клієнта, так і сервера.
• Підготовлені запити: Не використовуються; параметри просто з’єднуються.
• Транспортний рівень: HTTPS застосовується, але без пінінгу сертифікатів.

Операційна інфраструктура та потік даних

Catwatchful використовує Службу доступності Android для захоплення натискань клавіш, SMS, GPS та активності в соціальних мережах, а зібрані дані передаються в режимі близькому до реального часу на хмарну консоль. Початкова хостинг-послуга надавалась російським провайдером; після повідомлення TechCrunch сервіс перемістився до спільного середовища HostGator.

1. Встановлення: Додаток встановлюється через APK або прихований інсталятор.
2. Екстракція даних: HTTPS POST на api.catwatchful.io.
3. Доступ до панелі управління: Веб-інтерфейс захищений лише електронною поштою та паролем.

Юридичні, етичні та конфіденційні аспекти

«Stalkerware ставить унікальні виклики: його рекламують як засіб контролю за дітьми, але його легко використовувати для переслідування», – зазначає доктор Лена Каск, дослідниця конфіденційності в Фонді електронного фронту.

Відповідно до GDPR та CCPA, збір натискань клавіш та особистих комунікацій без явної згоди може призвести до значних штрафів. Багато юрисдикцій вважають таємний запис або моніторинг кримінальним злочином.

Стратегії захисту та пом’якшення наслідків

• Для розробників: Дотримуйтесь найкращих практик OWASP Top 10. Використовуйте параметризовані запити та впроваджуйте правила WAF для виявлення патернів SQLi.
• Для користувачів: Увімкніть Google Play Protect, обмежте права доступу до Служби доступності, перевірте встановлені додатки за допомогою інструментів для боротьби зі stalkerware, таких як Kaspersky Anti-Spy.
• Для хмарних провайдерів: Моніторте API-інтерфейси на наявність аномальних запитів, впроваджуйте більш суворе зберігання паролів (bcrypt або Argon2) та багатофакторну аутентифікацію.

Останні новини

Протягом минулого тижня Google оголосив про поліпшення Play Protect, які позначають як інсталятор Catwatchful, так і його бінарні файли. Тим часом Нідерландська служба захисту даних розпочала розслідування щодо відповідності додатку європейським законам про конфіденційність.