Не е тайна, че услугите в Google Play са пълни с приложения, продавани на двойки и родители, които искат да шпионират любимите си хора. И често тези инструменти се използват в злоумишлени взаимоотношения и се инсталират от насилника на телефона на жертвата, без негово знание. Това, което не всеки знае, е, че, в допълнение към тези, рекламирани способности за нарушаване на неприкосновеността на личния живот, в смартфоните има много основни и шокиращи уязвимости, които могат лесно да позволят на някого да шпионира телефона, само чрез пускане на съответния софтуер, информира Forbes.
Според списанието, най-обезпокояващият пример е приложението, наречено Couple Vow, което разкри на трети страни 1,7 милиона пароли на свои потребители. Така, всеки, който има достъп до акаунта, може не само да получи цялата информация за местоположение, смс-и и разговори на всеки, когото проследява, но и цялото съдържание, изпратено чрез функцията за съобщения на приложението. Това вече се е случило и в някои случаи откраднатите данни включват дори голи изображения.
Теча е бил открит от учени от Fraunhofer институт за технологии и сигурност на информацията (SIT), със седалище в Германия, които представиха своите констатации на конвенцията DEF CON, която се проведе в Лас Вегас.
Според изследователите, всичко, което е било необходимо, е да се поискат данните от сървъра на приложението, използвайки това, което е известно като искане GET. Не е необходимо да въвеждате потребителско име или парола. "Дори не трябва да се атакува сървъра. Само една заявка GET позволи да се получат всички данни, без да е имало никакво удостоверяване", каза пред Forbes специалистът по сигурността в SIT, Зигфрид Растхофер.
Двамата разработчици на приложението все още не са отговорили на исканията за коментар.
Още 18 проследяващи приложения, с милиони потребители, също бяха разследвани от Растхофер и колегите му, Стефан Хубер и Стивън Арц, в течение на миналата година. Всички се оказа че съдържат слаби места, които биха могли да бъдат използвани за достъп до профилите, включително заобикаляне на автенитикацията и незащитени комуникации.