Un grupo de aplicaciones que permiten espiar a otras personas y controlar su actividad en el teléfono móvil sin su conocimiento, conocidas como ‘stalkerware’, preocupa no solo por su finalidad sino también por compartir una misma vulnerabilidad que expone los datos de las víctimas.
Una investigación realizada por TechCrunch en octubre del año pasado sobre aplicaciones ‘stalkerware’ desveló una vulnerabilidad presente en un grupo de aplicaciones espía destinadas a consumidores. Esta estaba filtrando información sensible de las víctimas, como el número de teléfono, los mensajes o la ubicación.
Cerca de 400.000 personas de todo el mundo, aunque principalmente de Estados Unidos, Brasil, Indonesia, India, Jamaica, Filipinas, Sudáfrica y Rusia, tienen instalada alguna de las nueve aplicaciones ‘spyware’, pertenecientes a una empresa con sede en Vietnam llamada 1Byte Software, como ha podido identificar el medio citado.
Estas aplicaciones son Copy9, MxSpy, TheTruthSpy, iSpyoo, SecondClone, TheSpyApp, ExactSpy, FoneTracker y GuestSpy, y se caracterizan por tener una interfaz de instalación similar, un panel web con acceso a todos los datos de la víctima en tiempo real y comunicarse con la misma infraestructura de servidor. Y también por compartir la misma vulnerabilidad.
La vulnerabilidad ha sido también recogida por la Universidad Carnegie Mellon (Estados Unidos), que la identifica como una referencia de objeto directo inseguro (IDOR, por sus siglas en inglés), que «expone información en un servidor debido a controles de autenticación o autorización insuficientes».
Por ella, un tercero puede acceder de forma remota y sin necesidad de ser autenticado a la información personal que recopila la app espía «desde cualquier dispositivo que tenga instalada una de las variantes de ‘stalkerware'».
Desde TechCrunch han decidido compartir esta información después de intentar ponerse en contacto con los responsables de las aplicaciones para que corrigieran la vulnerabilidad, así como con los proveedores del alojamiento, sin obtener respuesta en ningún caso.
Aunque no creen que la vulnerabilidad se vaya a resolver pronto, esperan al menos que la información pueda ayudar a las víctimas que tengan instalada una de las aplicaciones espía para que la desinstalen de sus dispositivos.