还有另一种间谍软件更普遍,也更可能影响普通人:由普通人控制的消费者级间谍软件应用。
消费者级间谍软件通常以儿童监控软件的名义出售,但也被称为“跟踪软件”,因为它能够在未经他人或配偶同意的情况下跟踪和监控他人或配偶。跟踪软件应用程序是由能够实际访问用户手机的人秘密安装的,并且隐藏在主屏幕之外,但会在用户不知情的情况下从手机上无声地、持续地上传通话记录、短信、照片、浏览历史记录、精确位置数据和通话记录。许多间谍软件应用都是为安卓系统开发的,因为植入恶意应用比在iPhone上更容易,因为iPhone对可以安装什么样的应用以及可以访问什么数据有更严格的限制。
去年10月,TechCrunch揭露了一个消费者级间谍软件安全问题,使包括美国人在内的数十万人的私人电话数据、信息和位置处于危险之中。
但在这种情况下,它不仅仅是一个间谍软件应用程序暴露人们的手机数据。这是一整套Android间谍软件应用程序,它们共享相同的安全漏洞。
TechCrunch首次发现该漏洞是对消费者级间谍软件进行更广泛探索的一部分。该漏洞很简单,这就是它如此具有破坏性的原因,允许几乎不受限制地远程访问设备的数据。但是,秘密披露该安全漏洞以防止其被邪恶行为者滥用的努力,遭到了幕后操纵者和托管间谍软件操作后端服务器基础设施的网络公司Codero的沉默。
间谍软件的本质意味着目标用户可能不知道他们的手机受到了威胁。TechCrunch不指望该漏洞会很快得到修复,现在它正在披露更多关于间谍软件应用程序和操作的信息,以便被入侵设备的所有者可以在安全的情况下自行卸载间谍软件。
考虑到通知受害者的复杂性,卡内基梅隆大学软件工程研究所的漏洞披露中心CERT/CC也发布了一份关于间谍软件的说明。
以下是对一个大规模跟踪软件操作进行的长达数月的调查结果。该操作正在从世界各地约40万部手机收集数据,受害者人数每天都在增加,包括美国、巴西、印度尼西亚、印度、牙买加、菲律宾、南非和俄罗斯。
该行动的第一线是一系列白色标签的安卓间谍软件应用程序,它们不断收集用户手机的内容,每个应用程序都有定制的品牌,前面是与美国企业角色相同的网站,通过模糊其真实运营商的链接提供掩护。这些应用程序背后是由该运营商控制的服务器基础设施,TechCrunch称之为总部位于越南的1Byte公司。
TechCrunch发现了九个几乎相同的间谍软件应用,它们的品牌明显不同,其中一些应用的名称比其他应用更模糊:Copy9、MxSpy、TheTrustSpy、iSpyoo、Second Clone、TheSpyApp、ExactSpy、FoneTracker和GuestSpy。
除了它们的名字,间谍软件应用在引擎盖下有几乎相同的功能,甚至设置间谍软件的用户界面也相同。安装后,每个应用程序都允许植入间谍软件的人访问网络仪表板,实时查看受害者的手机数据——他们的信息、联系人、位置、照片等。与应用程序非常相似,每个仪表板都是同一个网络软件的克隆。当TechCrunch分析这些应用的网络流量时,我们发现这些应用都与同一个服务器基础设施相连。
但由于这九个应用程序共享相同的代码、web仪表盘和相同的基础设施,因此它们也共享相同的漏洞。
该漏洞被称为不安全的直接对象引用,或IDOR,这是一类由于安全控制不到位或不到位而暴露服务器上文件或数据的漏洞。这类似于需要一把钥匙来解锁你的邮箱,但这把钥匙也可以解锁你附近的其他邮箱。IDOR是最常见的脆弱性之一;技术2019冠状病毒疾病已经暴露出数千个实验室测试结果,最近的CDC批准了健康应用程序的案例暴露了COVID-19数字疫苗记录。IDOR的优势在于,它们通常可以在服务器级别固定,而无需对应用程序或应用程序群进行软件更新。
但劣质的编码并不仅仅暴露了普通人的私人电话数据。整个间谍软件基础设施充满了漏洞,这些漏洞揭示了该操作本身的更多细节。这就是我们如何得知,约40万台设备上的数据——尽管可能更多——已被该行动破坏。粗制滥造的编码还导致其附属公司的个人信息被曝光,这些附属公司带来了新的付费客户,这些信息可能是他们预期的私人信息;甚至连运营商自己也不例外。
在每个品牌应用、网络仪表板和正面网站的背后,似乎都是一家虚构的母公司,拥有自己的公司网站。母公司的网站在视觉上完全相同,都声称是“软件外包”公司,拥有超过十年的经验和数百名工程师,每个网站都声称九个品牌应用中的一个是其旗舰产品。
如果相同的网站不是直接的危险信号,那么母公司的网站都托管在同一个web服务器上。TechCrunch还搜索了州和公共数据库,但没有发现任何声称的母公司的当前业务记录。
Jexpa是众多母公司之一。与其他母公司一样,Jexpa似乎并不存在于纸面上,但有一段时间,一个名为Jexpa的实体确实存在。Jexpa于2003年在加利福尼亚州注册为一家技术公司,但于2009年从该州的商业登记处被暂停。该公司的域名已被放弃,等待到期。
2015年,一位未透露姓名的买家购买了Jexpa的过期域名。(TechCrunch没有发现前Jexpa和2015年Jexpa.com买家之间存在任何关联的证据。)杰斯帕。com现在声称是一家软件外包公司的网站,但里面充斥着库存照片和虚拟页面,并使用了一些真实身份的相似性,比如《利奥·迪卡普里奥》,但使用的是巴西导演费尔南多·梅雷莱斯的照片。这些运营商已经竭尽全力掩盖自己真正参与该行动的情况,包括使用其他人的身份注册电子邮件地址——一次使用纽约市警察局副局长和前航运主管的姓名和照片。
但Jexpa不仅仅是一个名字。TechCrunch发现Jexpa和品牌间谍软件应用程序之间存在几处重叠,包括一组可能不打算公开的发行说明,但它们被留在了服务器上,并被公开。
发行说明包含了三年的详细变化和修复后端Web仪表板,描述了间谍软件是如何演变的,因为日志最初是在2018年晚些时候创建的,其最新的修复部署在2021年4月。这些笔记是由一名开发人员与Jexpa签署的。com电子邮件地址。
这些说明还描述了对开发者所说的Jexpa框架的修复,该框架是在其服务器上运行的软件堆栈,用于托管操作,每个品牌的网络仪表板,以及存储从间谍软件应用程序本身收集的大量手机数据。我们之所以知道这一点,是因为,正如他们在发布说明中所做的那样,开发人员还将他们的技术文档和Jexpa框架的源代码公开在互联网上。
文件中列出了具体的技术配置和详细说明,并附有编辑不当的屏幕截图,显示了间谍软件应用程序使用的几个域和子域的部分内容。这些截图也暴露了运营商自己的网站,但稍后会有更多内容。文档页面还使用了间谍软件应用程序本身的例子,比如SecondClone,并详细描述了如何从头开始为每个应用程序设置新的内容存储服务器,甚至包括要使用的web主机,比如Codero,Hostwinds和阿里巴巴——因为它们允许应用程序运行所需的特定磁盘存储设置。
对于一家没有明显业务备案的公司来说,运营商投入了相当大的努力,让Jexpa看起来像是运营的最高领导。但这家运营商留下了一系列互联网记录、公开的源代码和文档,将Jexpa、Jexpa框架和间谍软件应用程序群与一家越南公司1Byte联系起来。
在我们联系1Byte了解该漏洞及其与Jexpa的链接后不久,Jexpa框架的文档页面被放在密码墙后面,将我们拒之门外。
1Byte看起来和其他任何软件初创公司一样,是一个由Android和Android组成的小团队。居住和工作在胡志明城外的NET开发者。它的Facebook页面显示了团队出游、聚餐和享受工作回报的过程。但1Byte正是这一庞大间谍软件操作背后的同一批开发者,该操作有助于监控全球数十万人。
他们为与运营保持距离而建立的层级表明,该集团可能意识到与运营此类运营相关的法律风险,或者至少是声誉风险。
显然,不仅1Byte热衷于将其参与保密。这些帮助销售该软件的附属公司也努力隐瞒自己的身份。
1Byte成立了另一家名为Affiligate的公司,负责为购买间谍软件的新客户支付费用,并为附属公司支付费用。Affiligate是在允许应用开发者销售软件的幌子下成立的,但实际上它是一个小市场,主要销售间谍软件。但是,劣质的编码似乎到处都是1字节。每次页面加载时,Affiligate市场上的一个bug都会在浏览器中泄露分支机构的真实身份。
Affigiges本身作为一个公司,无论是在英国或法国,取决于其网站上的你看。它甚至将1Byte列为其新加坡办事处,尽管TechCrunch没有发现任何证据表明1Byte在新加坡有任何实际存在。公开记录显示,一家英国公司以2019的名字在AffigigATE公司注册成立,后来于2021年3月被英国注册官解雇。TechCrunch定位并联系丹尼尔·奈茨的努力没有成功。
只有一个名字出现在Affiligate的文件中。英国注册记录显示,AffigigATE的唯一股东是Van Thieu,他的文件上的地址使他在伦敦的虚拟办公室空间。Tieu在LinkedIn上的个人资料将他列为越南10字节的股东,在他的个人资料照片中,可以看到他穿着印有1字节标志的T恤。Thieu也是1Byte的主管,据信是间谍软件操作的负责人。虽然蒂尤没有出现在该组织的网站上,但在该组织Facebook页面上的几张团队照片中可以看到他。TechCrunch已经通过Affiligate漏洞确认了另外两名1Byte员工,以及另一名在Jexpa框架代码中留下姓名的员工。
TechCrunch通过电子邮件向1Byte发送了该安全漏洞的详细信息。根据我们的电子邮件开放追踪系统,这些电子邮件被打开了,但我们没有得到回复。我们使用之前发送的电子邮件地址对1Byte进行了跟踪,但电子邮件被退回,并返回一条错误消息,说明该电子邮件地址已不存在。直接发送给1Byte员工的电子邮件已经送达,但我们没有收到任何回复。
自从联系1Byte和已知的附属公司以来,至少有两个品牌间谍软件应用程序似乎停止工作或关闭。
这就剩下我们了。如果没有修复或网络主机的干预,TechCrunch无法披露更多关于安全漏洞的信息——即使这是坏人自己造成的——因为它给数十万人带来了风险,他们的手机在不知不觉中受到了这种间谍软件的危害。
如果你认为这样做是安全的,我们已经就如何从你的手机上删除间谍软件进行了解释。由于间谍软件在设计上是隐蔽的,请记住,删除间谍软件可能会提醒植入者,这可能会造成不安全的情况。你可以从“反跟踪者联盟”和“结束家庭暴力全国网络”那里找到关于如何制定安全计划的支持和资源。
尽管近年来消费者级间谍软件构成的威胁越来越大,但美国当局在应对间谍软件操作的努力中受到了法律和技术挑战的阻碍。
跟踪软件在美国仍处于灰色地带,因为拥有间谍软件本身并不违法。在极少数情况下,联邦检察官对那些非法植入间谍软件的人采取了行动,这些软件的唯一目的是违反联邦窃听法,秘密窃听他人的通信。但政府对运营商的执法权力充其量是有限的,海外间谍软件运营商发现自己基本上不在美国执法的管辖范围之内。
相反,反跟踪软件的大部分前线工作都是由反病毒制造商和网络安全公司与人权捍卫者在技术层面合作进行的。2019年,反跟踪者联盟成立,致力于支持跟踪者受害者和幸存者。联盟共享已知跟踪软件的资源和样本,因此有关新威胁的信息可以提供给其他网络安全公司,并自动阻止。
2020年,谷歌禁止谷歌Play store上的跟踪软件应用,后来又禁止跟踪软件应用在其搜索结果中做广告,尽管结果好坏参半。
在法律在遏制间谍软件方面基本无效的情况下,联邦当局有时会使用新的法律手段来证明对运营商提起民事诉讼是正当的,比如未能充分保护他们收集的大量电话数据,通常会援引美国消费者保护法和数据泄露法。去年,联邦贸易委员会(Federal Trade Commission)在“缺乏基本安全”导致2000多部手机上的数据被公开曝光后,首次下令禁止间谍进入监控行业。2019年,联邦贸易委员会与视网膜X公司达成和解,该公司曾多次遭到黑客攻击,最终关闭。
追踪者对安全问题并不陌生;近年来,mSpy、Mobistealth、Flexispy、Family Orbit、KidsGuard和pcTattleTale都因泄露、暴露或成为访问大量手机数据的黑客的受害者而成为头条新闻。
如果您或您认识的人需要帮助,国家家庭暴力热线(1-800-799-7233)将为家庭虐待和暴力受害者提供全天候免费保密支持。如果你遇到紧急情况,打911。如果你认为你的手机被间谍软件破坏,反跟踪软件联盟也有资源。你可以通过Signal和WhatsApp通过+1 646-755-8849或zack联系这位记者。[email protected]通过电子邮件。