نرم افزار Xnspy از هزاران آیفون و دستگاه های اندرویدی جاسوسی کرد

به گزارش اپ خونه، برنامه نظارت بر تلفن کمتر شناخته شده به نام Xnspy داده‌های ده‌ها هزار آیفون و دستگاه‌های اندرویدی را به سرقت برده است، اکثریت صاحبان آنها از به خطر افتادن داده‌های آن‌ها اطلاعی ندارند.

Xnspy یکی از بسیاری از برنامه‌های به اصطلاح استالکرور است که به بهانه اجازه دادن به والدین برای نظارت بر فعالیت‌های فرزندشان فروخته می‌شود، اما صراحتاً برای جاسوسی از دستگاه‌های همسر یا شریک خانگی بدون اجازه آنها به بازار عرضه می‌شود. وب‌سایت آن به خود می‌بالد: «برای دستگیری همسر خیانتکار، به Xnspy در کنار خود نیاز دارید» و «Xnspy گزارش‌دهی و استخراج داده‌ها را برای شما ساده می‌کند».

برنامه‌های Stalkerware، که به عنوان spouseware نیز شناخته می‌شوند، به‌طور مخفیانه توسط شخصی با دسترسی فیزیکی به تلفن شخص، دور زدن حفاظت‌های امنیتی روی دستگاه، نصب می‌شوند و به گونه‌ای طراحی شده‌اند که از صفحه‌های اصلی پنهان بمانند، که تشخیص آنها را دشوار می‌کند.

پس از نصب، این برنامه‌ها به‌طور مداوم و بی‌صدا محتویات تلفن افراد را آپلود می‌کنند، از جمله سوابق تماس، پیام‌های متنی، عکس‌ها، تاریخچه مرور و داده‌های موقعیت مکانی دقیق، و به شخصی که برنامه را نصب کرده است اجازه می‌دهد تقریباً به داده‌های قربانی خود دسترسی داشته باشد.

اما یافته‌های جدید نشان می‌دهد که بسیاری از برنامه‌های استالکرور دارای نقص‌های امنیتی هستند و داده‌های سرقت شده از تلفن‌های قربانیان را افشا می‌کنند. Xnspy تفاوتی ندارد.

محققین امنیتی ونجلیس استیکاس و فیلیپه سولفرینی ماه‌ها صرف کامپایل کردن چندین برنامه استالکرور شناخته شده و تجزیه و تحلیل لبه‌های شبکه‌هایی کردند که برنامه‌ها داده‌ها را به آن‌ها ارسال می‌کنند.

تحقیقات آنها که این ماه در BSides لندن ارائه شد، نقص‌های امنیتی رایج و آسان را در چندین خانواده نرم‌افزار استالکر، از جمله Xnspy، مانند اعتبارنامه‌ها و کلیدهای خصوصی که توسط توسعه‌دهندگان در کد به جا مانده و رمزگذاری شکسته یا وجود ندارد، شناسایی کرد. در برخی موارد، نقص ها داده های دزدیده شده قربانیان را فاش می کند و اکنون روی سرورهای ناامن دیگران قرار دارد.

استیکاس و سولفرینی در طول تحقیقات خود سرنخ‌ها و مصنوعاتی را کشف کردند که افراد پشت هر عملیات را شناسایی می‌کردند، اما از به اشتراک گذاشتن جزئیات آسیب‌پذیری‌ها با اپراتورهای استالکرور یا افشای عمومی جزئیات مربوط به نقص‌ها به دلیل ترس از اینکه انجام این کار به نفع هکرهای مخرب و بیشتر باشد، خودداری کردند. آسیب رساندن به قربانیان استیکاس و سولفرینی می‌گویند که استفاده از تمام عیب‌هایی که یافته‌اند آسان است و احتمالاً سال‌هاست وجود داشته‌اند.

دیگران با سوء استفاده از آسیب‌پذیری‌های آسان‌تر با هدف آشکار افشای عملیات‌های نرم‌افزاری به‌عنوان نوعی هوشیاری، وارد آب‌های قانونی تیره‌تر شده‌اند. حافظه پنهان بزرگی از داده‌های داخلی که از سرورهای نرم‌افزار نرم‌افزار TheTruthSpy و برنامه‌های وابسته به آن گرفته شده و در اوایل سال جاری به TechCrunch داده شده است، به ما این امکان را می‌دهد تا به هزاران قربانی که دستگاه‌هایشان در معرض خطر قرار گرفته‌اند، اطلاع دهیم.

Xnspy's website advertising how its phone stalkerware can be used to spy on a person's spouse or partner.

Xnspy برنامه نظارت بر تلفن خود را برای جاسوسی از همسر یا شریک خانگی تبلیغ می کند

داده‌های مشاهده شده توسط TechCrunch نشان می‌دهد که Xnspy حداقل ۶۰۰۰۰ قربانی دارد که به سال ۲۰۱۴ بازمی‌گردد، از جمله هزاران مورد جدیدتر که اخیراً در سال ۲۰۲۲ ثبت شده است. اکثر قربانیان صاحبان Android هستند، اما Xnspy همچنین داده‌های گرفته شده از هزاران آیفون را دارد.

بسیاری از برنامه‌های بدافزار برای اندروید ساخته شده‌اند، زیرا نصب یک برنامه مخرب آسان‌تر از آیفون است، که محدودیت‌های سخت‌تری برای نصب برنامه‌ها و دسترسی به داده‌ها دارد. به جای نصب یک برنامه مخرب، نرم افزارهای استالکر برای آیفون ها از پشتیبان گیری دستگاه ذخیره شده در سرویس ذخیره سازی ابری اپل iCloud استفاده می کنند.

با استفاده از اعتبار iCloud قربانی، نرم افزار stalker به طور مداوم آخرین نسخه پشتیبان iCloud دستگاه را مستقیماً بدون اطلاع مالک از سرورهای اپل دانلود می کند. پشتیبان‌گیری‌های ICloud شامل اکثر داده‌های دستگاه یک فرد است و به نرم‌افزار نرم‌افزاری اجازه می‌دهد پیام‌ها، عکس‌ها و سایر اطلاعات آنها را بدزدد. فعال کردن احراز هویت دو مرحله‌ای، به خطر انداختن حساب آنلاین افراد برای افراد مخرب بسیار دشوارتر می‌شود.

داده‌ها حاوی بیش از ۱۰۰۰۰ آدرس ایمیل و رمز عبور منحصربفرد iCloud است که برای دسترسی به داده‌های ذخیره‌شده در ابر قربانی استفاده می‌شود، اگرچه بسیاری از حساب‌های iCloud به بیش از یک دستگاه متصل هستند.

از این تعداد، داده ها حاوی بیش از ۶۶۰۰ توکن احراز هویت است که به طور فعال برای استخراج داده های دستگاه قربانیان از ابر اپل استفاده شده بود، اگرچه بسیاری از آنها منقضی شده بودند. با توجه به احتمال خطر مداوم برای قربانیان، TechCrunch لیستی از اعتبارنامه های iCloud به خطر افتاده را قبل از انتشار در اختیار اپل قرار داد.

«داده های Xnspy که ما به دست آوردیم رمزگذاری نشده بود. همچنین حاوی اطلاعاتی بود که نقاب توسعه دهندگان Xnspy را بیشتر آشکار کرد».

Konext یک استارت آپ توسعه کوچک در لاهور پاکستان است که بر اساس صفحه لینکدین آن، ده ها کارمند اداره می شود. وب‌سایت استارت‌آپ می‌گوید این استارت‌آپ در «نرم‌افزار سفارشی برای کسب‌وکارهایی که به دنبال راه‌حل‌های همه‌جانبه هستند» تخصص دارد و ادعا می‌کند که ده‌ها برنامه و بازی موبایل ساخته است.

چیزی که Konext تبلیغ نمی کند این است که نرم افزار Xnspy را توسعه و نگهداری می کند.

داده‌های مشاهده شده توسط TechCrunch شامل فهرستی از نام‌ها، آدرس‌های ایمیل و رمزهای عبور درهم شده است که منحصراً برای توسعه‌دهندگان و کارمندان Konext برای دسترسی به سیستم‌های داخلی Xnspy ثبت شده‌اند.

حافظه پنهان همچنین شامل اعتبارنامه Xnspy برای یک ارائه دهنده پرداخت شخص ثالث است که به آدرس ایمیل معمار سیستم های اصلی Konext، به گفته LinkedIn وی، و گمان می رود که توسعه دهنده اصلی عملیات جاسوس افزار باشد، مرتبط است.

سایر توسعه دهندگان Konext از کارت های اعتباری ثبت شده در آدرس خانه خود در لاهور برای آزمایش سیستم های پرداخت مورد استفاده برای Xnspy و TrackMyFone، یک شبیه سازی Xnspy که توسط Konext نیز توسعه یافته است، استفاده کردند.

داده ها نشان می دهد که برخی از کارکنان Konext در قبرس هستند.

Konext، مانند سایر توسعه دهندگان نرم افزارهای سخت افزاری، تلاشی هماهنگ برای پنهان کردن فعالیت های خود و حفظ هویت توسعه دهندگان خود از دید عموم انجام می دهد تا احتمالاً از خطرات قانونی و اعتباری ناشی از تسهیل نظارت مخفیانه در مقیاس گسترده محافظت کند. اما اشتباهات کدنویسی که توسط توسعه دهندگان خود Konext باقی مانده است، مشارکت آن را در توسعه نرم افزارهای استالکر بیشتر مرتبط می کند.

TechCrunch دریافت که وب‌سایت Konext روی همان سرور اختصاصی میزبانی می‌شود که وب‌سایت TrackMyFone، و همچنین Serfolet، یک نهاد مستقر در قبرس با یک وب‌سایت کاملاً بی‌بهره، که Xnspy می‌گوید بازپرداخت وجه را از طرف مشتریانش پردازش می‌کند. هیچ وب سایت دیگری روی سرور میزبانی نمی شود.

TechCrunch با معمار اصلی سیستم های Konext از طریق ایمیل برای نظر دادن به آدرس های ایمیل Konext و Xnspy تماس گرفت. در عوض، شخصی به نام سال که آدرس ایمیل Konext او نیز در داده‌ها وجود داشت اما از ارائه نام کامل خودداری کرد، به ایمیل پاسخ داد. سال پیوندهای شرکت به Xnspy را در یک سری ایمیل با TechCrunch رد یا رد نکرد، اما از اظهار نظر خودداری کرد. وقتی از سال در مورد تعداد دستگاه‌های آسیب‌دیده پرسیده شد، به نظر می‌رسد که سال دخالت شرکتش را تأیید می‌کند و در یکی از ایمیل‌ها می‌گوید که «اعدادی که شما نقل کردید با آنچه ما داریم مطابقت ندارد». هنگامی که از سال برای شفافیت خواسته شد، سال توضیح بیشتری نداد.

Xnspy جدیدترین مورد در لیست طولانی برنامه‌های بدافزار معیوب است: mSpy، Mobistealth، Flexispy، Family Orbit، KidsGuard و TheTruthSpy همگی اطلاعات قربانیان خود را در سال‌های اخیر افشا کرده یا به خطر انداخته‌اند.

آذر ۲۲, ۱۴۰۱

خواندن این مطلب 5 دقیقه زمان میبرد