Издание Motherboard поделилось забавной историей, в которой хакер, пожелавший остаться анонимным, взломал базу данных компании SpyHuman. По иронии судьбы эта компания занимается разработкой шпионского мобильного приложения.
SpyHuman — сервис для удалённого мониторинга Android-устройства посредством установки на него одноимённого приложения. Согласно сайту разработчика, программа позволяет получить доступ к журналу вызовов, истории браузера, SMS-сообщениям, контактам, текущему местоположению, переписке в Facebook и WhatsApp и многому другому. Кроме того, с помощью SpyHuman можно активировать микрофон и камеру, а также дистанционно загружать файлы.
Неизвестному хакеру удалось получить доступ к текстовым сообщениям и звонкам, используя уязвимость на сайте SpyHuman. Об этом изданию Motherboard сообщил французский специалист по безопасности Батист Роберт (Baptiste Robert), выступивший посредником в этом деле. Он предоставил видео, на котором хакер демонстрирует проблему безопасности сервиса. На нём видно, как с помощью несложных манипуляций на экране появляются SMS-сообщения сначала одного пользователя, а после определённых изменений в URL-адресе открывается переписка уже другого клиента. В ролике также засветились несколько адресов электронной почты. Хакер утверждает, что через дыру в безопасности на сайте доступна информация о 440 млн звонков.
Несмотря на то, что SpyHuman позиционирует своё ПО, как решение для удалённого слежения за детьми и сотрудниками компаний, во многих обзорах на сайтах и в социальных сетях приложение часто рекламируется для других целей – как возможность шпионить за мужем, женой или своим партнёром. По словам хакера, разработчики этих приложений зарабатывают на шпионаже, поэтому такое ПО не должно быть на рынке.
В SpyHuman подтвердили, что похищенные данные принадлежат пользователям сервиса и сообщили, что уже устранили уязвимости в своей системе безопасности.