Primárně je dodáván coby software pro sledování dětí, je však možné jej „zneužít“ pro monitorování prakticky jakéhokoli mobilního uživatele. A to bez jakéhokoli podezření z jeho strany. Dostat takzvaný stalkerware do telefonu je poměrně snadné: „záškodníkovi“ stačí pouze fyzický přístup k danému přístroji, do kterého následně nahraje „šmírovací“ aplikaci v podobě spotřebitelského spywaru, tedy „škodlivého“ softwaru ovládaného běžnými lidmi.
Na domovské obrazovce navíc špehovaný uživatel neuvidí žádnou ikonku, která by přítomnost stalkerwaru v telefonu naznačovala. Software běží na pozadí. Zcela v tichosti tak vysává obsah telefonu, jako jsou záznamy hovorů, textové zprávy, fotografie, historie procházení či lokalizační údaje. Není překvapením, že drtivá většina těchto aplikací je vytvořena pro Android. Dostat totiž takovýto „škodlivý“ software do iPhonu je kvůli omezení, jaké aplikace do něj lze nainstalovat a k jakým datům lze přistupovat, podstatně složitější.
Již loni v říjnu však portál TechCrunch upozornil na vážnou bezpečnostní chybu stalkerwaru, kvůli níž byla v ohrožení soukromá data stovek tisíc mobilních uživatelů. Tehdy však s odůvodněním, že by to potenciálním útočníkům usnadnilo přístup k nezabezpečeným datům, konkrétní aplikaci ani jejího vývojáře, kterého se snažil neúspěšně zkontaktovat, neupřesnil.
Nyní však kvůli mlčení ze strany vývojářů takovýchto aplikací i ze strany společnosti Codero, která provozuje serverovou infrastrukturu pro spywarové operace, přišel TechCrunch s odhalením, že tento bezpečnostní problém se netýká pouze jediné stalkerwarové aplikace. Stejnou bezpečnostní chybu, která umožňuje prakticky neomezený vzdálený přístup k uživatelským datům, totiž sdílí celá řada androidích „špehovacích“ aplikací.
Portál odhalil celkem devět téměř identických spywarových aplikací pro Android. Všechny mají prapodivná pojmenování. Konkrétně jde o Copy9, MxSpy, TheTruthSpy, iSpyoo, SecondClone, TheSpyApp, ExactSpy, FoneTracker a GuestSpy. Nelze samozřejmě vyloučit, že podobných podvržených aplikací na „sledování dětí“ nebude podstatně více.
Navzdory odlišným názvům mají prakticky identické funkce. Spojuje je i fakt, že využívají totožné uživatelské rozhraní. „Po instalaci každá aplikace umožňuje osobě, která nasadila spyware, přístup k webovému panelu, kde si v reálném čase prohlíží data z telefonu oběti – její zprávy, kontakty, polohu, fotografie a další,“ uvedl portál s tím, že při analýze síťového provozu zjistil, že všechny aplikace kontaktují stejný server.
Všechny stopy vedou do Vietnamu
A kde se nachází ona společná Achillovu pata? Ta spočívá v neoprávněném přístupu k prostředkům s omezeným přístupem. Jde o nezabezpečený přímý odkaz, tedy jednu z nejběžnějších chyb v zabezpečení, kdy kvůli podprůměrným či nulovým bezpečnostním kontrolám jsou přístupná data na serveru. Podle TechCrunche lze tuto chybu přirovnat ke klíči potřebnému k odemčení poštovní schránky, přičemž tentýž dokáže následně odemknout i všechny ostatní ve vašem okolí.
Tato jednoduchá a bezesporu záměrná bezpečnostní chyba tak umožňuje téměř neomezený vzdálený přístup k uživatelským datům. Podle zjištění portálu se podařilo odhalit, že služba již zcizila data z přibližně 400 tisíc smartphonů po celém světě včetně USA, Brazílie, Indonésie, Indie, Jamajky, Filipín, Jihoafrické republiky či Ruska. A počet obětí může každým dnem narůstat.
Za každou aplikací, webovým panelem a hlavním webem stojí fiktivní společnost s „vlastním firemním“ webem. Varováním je už fakt, že všechny tyto „firemní“ weby hostují na stejném serveru. Útočníkům jde o jediné: na oko vytvořit iluzi, že je vše korektní. Zneužívají k tomu i veřejně známé tváře. Ve skutečnosti však všechny stopy od společností zastřešujících výše zmíněné aplikace vedou podle zjištění TechCrunche k jediné společnosti: vietnamské 1Byte.
Ta stojí mimo jiné také za společností Affiligate zpracovávající platby od nově příchozích zákazníků, kteří si některou ze spywarových aplikací zakoupí. Ta se prezentuje jako společnost, která vývojářům umožňuje prodávat jejich software, ve skutečnosti jde však o tržiště prodávající převážně spyware. I zde se mají projevovat zjevně záměrné chyby vietnamské 1Byte v kódování: při každém načtení webu totiž podle zjištění TechCrunche dochází k úniku skutečných identit partnerů Affiligate. A ještě jedna perlička: sídlo společnosti se mění v závislosti na tom, z jakého státu se na její web přistupuje.
Zkontrolujte svůj telefon, radí portál
Portál v souvislosti s odhalením podvržených aplikací připravil i návod, jak se případného stalkerwaru v telefonu zbavit. V první řadě by si měl uživatel androidího zařízení v aplikaci Obchod Play ověřit, zdali má aktivní službu Google Play Protect, která chrání před škodlivými aplikacemi. Stalkerware totiž ke svému fungování vyžaduje, aby tato funkce byla neaktivní – člověk, který do daného telefonu takovou aplikaci instaluje, je totiž kvůli zajištění její funkčnosti vyzván k deaktivaci této služby.
Stalkerware kromě toho často v Androidu zneužívá funkci usnadnění, což mu zajistí přístup k datům v hloubi zařízení. Pokud staženou službu v možnostech usnadnění nepoznáváte, odeberte ji. Mnoho stalkerwarových aplikací se podle TechCrunche maskuje jako obyčejné aplikace s názvy Accessibility (Přístupnost) nebo Device Health (Stav zařízení).
V neposlední řadě je dobré si ověřit, zda není v telefonu nainstalována aplikace pro jeho vzdálenou správu. Zde však pozor: takovou aplikaci, pokud jde o firemní zařízení, mohl do telefonu nahrát i zaměstnavatel. Primárně má totiž sloužit k deaktivaci funkcí a vymazání dat v případě ztráty či zcizení zařízení. Stalkerware je však zneužívá. Nicméně v soukromém telefonu působí aplikace s názvy System Service (Systémová služba), Device Health (Stav zařízení) nebo Device Admin (Správce zařízení) krajně podezřele.
Na místě je také kontrola seznamu instalovaných aplikací. U žádné z výše zmíněných stalkewarových aplikací, které se v něm mohou objevit, totiž s největší pravděpodobností na domovské obrazovce neuvidíte žádnou ikonu. Rozpoznávacím znamením těchto aplikací může být i široký přístup k datům v telefonu včetně kalendáře, protokolů hovorů, fotoaparátu či kontaktům. Podezřelou aplikaci, kterou jste zjevně sami neinstalovali, jednoduše odinstalujte.
V této souvislosti TechCrunch podotýká, že „záškodník“, který ji do vašeho telefonu dostal, bude pravděpodobně na její odinstalování upozorněn. Nicméně pokud skutečně došlo k její instalaci bez vašeho vědomí, pak to značí jediné: špatně zabezpečené zařízení. Buď svůj telefon vůbec nechráníte před nežádoucími přístupy, nebo používáte slabé, lehce prolomitelné heslo. Na místě tak jistě bude přehodnotit postoj k zabezpečení svého zařízení.
