Büyük bir güvenlik atlaması, kendisini gizli gözetim için bir araç olarak açık bir şekilde pazarlayan tam özellikli bir Android casus yazılım uygulaması olan 62.000’den fazla Catwatchful kullanıcısının kimlik bilgilerini ortaya çıkardı.
Bir güvenlik araştırmacısı tarafından keşfedilen ihlal, Stalkerware’in ortaya koyduğu kalıcı riskleri ve hassas kullanıcı verilerinin yeterli güvenceler olmadan depolanmasının tehlikelerini vurgular.
Catwatchful, kullanıcının bilgisi olmadan cihazları izlemek için tasarlanmış bir Android uygulamasıdır. Mevcut casus yazılım platformlarını yeniden satan birçok benzer uygulamanın aksine, Catwatchful kendi altyapısını işletiyor ve üç günlük ücretsiz bir deneme sunuyor.
Pazarlama materyalleri alışılmadık derecede açıktır, “mutlak gizli” ile övünür ve uygulamanın “görünmez, tespit edilemeyeceği ve kaldırılamayacağını veya durdurulamayacağını vaat eder.
Uygulamanın SSS’si, potansiyel müşterilere sahibinin farkındalığı olmadan bir telefonu izleyebileceğini garanti eder.
Güvenlik kusuru
Araştırmacının soruşturması, Catwatchful’un hem Firebase örneğinde hem de Catwatchful.pink’te barındırılan özel bir arka uçta kullanıcıları kaydettiğini ortaya koyan bir test hesabının oluşturulmasıyla başladı.
Kapsamlı izinler talep eden ve kendisini bir sistem uygulaması olarak gizleyen uygulamayı yükledikten sonra, araştırmacı, fotoğraf, ses kayıtları ve daha fazlası dahil olmak üzere toplanan tüm verilerin Firebase’de depolandığını ve bir web kontrol paneli aracılığıyla yönetildiğini buldu.
Ancak, gerçek güvenlik açığı Catwatchful’un özel arka ucunda yatıyordu.
Uygulamanın kullanıcı hesaplarını ve cihazlarını yönetmek için kullanılan PHP API’sının klasik bir SQL enjeksiyon saldırısına duyarlı olduğu bulunmuştur.
Araştırmacı, bu kusurdan yararlanarak, 62.000’den fazla hesabın tamamı için düz metin e -posta adresleri ve şifreler de dahil olmak üzere tüm kullanıcı veritabanına erişebildi.
Maruz kalan veritabanı yalnızca kullanıcı kimlik bilgilerini değil, aynı zamanda hesapları izlenen cihazlara bağlayan bilgiler içeriyordu.
Bu, veritabanına erişimi olan herkesin potansiyel olarak herhangi bir hesabı devralabileceği, özel verilere erişebileceği ve hem uygulamanın müşterilerinin hem de gözetim hedeflerinin gizliliğinden daha fazla tehlikeye atabileceği anlamına gelir.
Olayların Zaman Çizelgesi
- 9 Haziran 2025: Güvenlik açığı gazeteci Zack Whittaker’a keşfedildi ve rapor edildi.
- 23 Haziran 2025: Google, Güvenli Göz atma ile Catwatchful bayrakları; Firebase ekibi bildirildi.
- 25 Haziran 2025: Barındırma sağlayıcısı, hizmeti geçici olarak devre dışı bırakarak Catwatchful.pink’i devirir.
- 26 Haziran 2025: Hizmet, hala savunmasız olan yeni bir alanda yeniden ortaya çıkıyor.
- 27 Haziran 2025: SQL enjeksiyonunu engelleyen bir web uygulaması güvenlik duvarı dağıtılır.
- 2 Temmuz 2025: İhlal ayrıntıları yayınlandı.
Catwatchful ihlali, sadece gözetlenenler için değil, aynı zamanda bu tür hizmetlerin kullanıcıları için de Stalkerware’in doğal risklerinin altını çiziyor.
Binlerce kimliğin maruz kalması, gizli gözetim için tasarlanan araçların kendilerinin genellikle zayıf bir şekilde güvence altına alındığını ve herkesi riske attığını hatırlatıyor.
Özel Web Semineri Uyarısı: Gelişmiş API Güvenliği İçin Intel® İşlemci Yeniliklerini Koşullandırma – Ücretsiz Kayıt