2つの電話監視アプリに存在するセキュリティ上の脆弱性により、知らないうちにアプリをデバイスにインストールしてしまった何百万人もの人々の個人データが漏洩する可能性があると、この欠陥を発見したセキュリティ研究者が明らかにした。
このバグにより、CocospyとSpyicに侵入されたスマートフォンやタブレットから、メッセージ、写真、通話履歴などの個人データに誰でもアクセスできるようになります。CocospyとSpyicは、それぞれ異なるブランド名で、ソースコードはほぼ同じですが、侵入されたスマートフォンやタブレットから盗み出されたデータです。また、CocospyとSpyicに登録したユーザーのメールアドレスも漏洩し、これらのアプリを誰かのデバイスにインストールして密かに監視しようとしていたことが発覚しました。
他の種類のスパイウェアと同様に、CocospyやSpyicのような製品は、被害者のデバイスに潜伏したまま、アプリをインストールした人物が閲覧できるダッシュボードにデバイスのデータを密かに継続的にアップロードするように設計されています。スパイウェアのステルス性の高さから、ほとんどのスマートフォン所有者は、自分のデバイスが侵害されていることに気付いていない可能性があります。
CocospyとSpyicの運営者はTechCrunchのコメント要請に応じず、記事公開時点ではバグも修正していない。
このバグは比較的簡単に悪用できます。そのため、TechCrunchは脆弱性の具体的な詳細を公開していません。これは、悪意のある人物がこれを悪用し、CocospyとSpyicによって既に侵害されているデバイスを持つ個人の機密性の高い個人データをさらに漏洩させないためです。
このバグを発見したセキュリティ研究者は、このバグにより、2つの電話監視アプリのいずれかに登録した人のメールアドレスに誰でもアクセスできるとTechCrunchに語った。
研究者は、このバグを悪用してアプリのサーバーからデータを収集し、Cocospyの顧客181万件とSpyicの顧客88万167件のメールアドレスを収集した。研究者は、これらのメールアドレスのキャッシュを、データ侵害通知サービス「Have I Been Pwned」を運営するトロイ・ハント氏に提供した。
ハント氏はTechCrunchに対し、CocospyとSpyicに登録されていた合計265万件の固有のメールアドレスを、両方のデータに重複するメールアドレスを削除した後、「Have I Been Pwned」にロードしたと語った。ハント氏によると、過去のスパイウェア関連のデータ漏洩と同様に、「Have I Been Pwned」ではCocospyとSpyicのキャッシュが「機密」としてマークされており、影響を受けたメールアドレスを持つ本人のみが自分の情報が含まれているかどうかを確認できるという。
CocospyとSpyicは、近年セキュリティ上の問題を抱えた監視製品の長いリストの最新のものです。これらの問題は、多くの場合、バグやセキュリティ対策の不備が原因です。TechCrunchの集計によると、CocospyとSpyicは、2017年以降、ハッキング、侵害、あるいは顧客や被害者の機密性の高いデータがオンラインで漏洩した既知の監視サービス23社に含まれています。
CocospyやSpyicのような電話監視アプリは、通常、ペアレンタルコントロールや従業員監視アプリとして販売されていますが、ストーカーウェア(または配偶者監視ウェア)と呼ばれることもあります。これらの製品の中には、配偶者や恋人を本人の許可なく監視する手段としてオンラインで明示的に宣伝しているものがあり、これは違法です。悪質な活動を目的として明示的に販売されていないモバイル監視アプリの場合でも、顧客がこれらのアプリを表面上は違法な目的で使用しているケースがしばしばあります。
ストーカーウェアアプリはアプリストアから禁止されているため、通常はストーカーウェアの提供元から直接ダウンロードされます。そのため、ストーカーウェアアプリを仕掛けるには、多くの場合、被害者のAndroidデバイスへの物理的なアクセスが必要となり、多くの場合、被害者のデバイスのパスコードを事前に知っている必要があります。iPhoneやiPadの場合、ストーカーウェアはAppleのクラウドストレージサービスiCloudに保存されているデバイスのデータにアクセスすることができ、そのためには盗まれたAppleアカウントの認証情報が必要になります。
中国と関係のあるストーカーウェア
CocospyとSpyicの運営者を含め、これら2つのスパイウェア事業についてはほとんど何も分かっていません。ストーカーウェア運営者は、監視活動に伴う評判や法的リスクを考慮して、世間の注目を避けようとする傾向があります。
CocospyとSpyicはそれぞれ2018年と2019年にサービスを開始しました。登録ユーザー数だけを見ても、Cocospyは現在知られている最大規模のストーカーウェアの一つです。
2022年の研究プロジェクトの一環として、いくつかのストーカーウェアファミリーを分析したセキュリティ研究者のヴァンゲリス・スティカス氏とフェリペ・ソルフェリーニ氏は、CocospyとSpyicの運営と、ウェブサイトが読み込まれなくなった中国拠点のモバイルアプリ開発会社711.icuとの関連を示す証拠を発見した。
今週、TechCrunchはCocospyとSpyicのアプリを仮想デバイスにインストールしました(これにより、どちらのスパイサービスにも位置情報などの現実世界のデータを渡さずに、安全なサンドボックス内でアプリを実行できます)。どちらのストーカーウェアアプリも、Android向けの目立たない「システムサービス」アプリを装い、Androidの標準アプリに紛れ込むことで検出を逃れているようです。
私たちはネットワーク分析ツールを使用して、アプリに出入りするデータを監視し、スパイウェアの動作方法、共有されるデータ、サーバーの設置場所を把握しました。
トラフィック分析の結果、このアプリは仮想デバイスのデータをCloudflare経由で送信していることが判明しました。Cloudflareは、スパイウェア活動の実際の位置情報とウェブホストを隠蔽するネットワークセキュリティプロバイダーです。しかし、ウェブトラフィックからは、2つのストーカーウェアアプリが被害者の写真などのデータをAmazon Web Servicesでホストされているクラウドストレージサーバーにアップロードしていることが判明しました。
アマゾンの広報担当者ライアン・ウォルシュ氏は、違反の可能性があるとの報告を受けた場合、「直ちに行動して検討し、禁止されているコンテンツを無効にする措置を講じる」と述べたが、その根拠は示さず、スパイウェア行為に対して何らかの措置を講じる予定があるかどうかについても言及しなかった。
Cloudflareは、ストーカーウェアの活動に関するTechCrunchの問い合わせには回答しなかった。
分析では、アプリの使用中にサーバーが中国語でステータスやエラーメッセージを返すことが時々あることも示されており、アプリは中国と関係のある何者かによって開発されていることを示唆している。
CocospyとSpyicストーカーウェアを削除する方法
CocospyとSpyicから収集されたメールアドレスは、これらのアプリを仕掛けた者が自分の情報(および被害者の)が侵害されたかどうかを判断するのに役立ちます。しかし、これらのデータには、侵害された携帯電話の所有者に通知するのに十分な個人識別情報は含まれていません。
しかし、CocospyとSpyicに自分の携帯電話が侵入されているかどうかを確認する方法はあります。多くのストーカーウェアと同様に、これらのアプリはどちらも、Androidデバイスのセキュリティ設定を故意に弱体化させることでアプリを仕掛けます。iPhoneやiPadの場合は、ユーザー名とパスワードを知りながらAppleアカウントにアクセスすることで仕掛けられます。
Cocospy と Spyic はどちらも、「システムサービス」と呼ばれる一般的なアプリとして表示されて隠れようとしますが、それらを見分ける方法はあります。
CocospyとSpyicを使えば、Androidスマートフォンアプリのキーパッドに「✱✱ 001 ✱✱」と入力し、「通話」ボタンを押すと、ストーカーウェアアプリが画面に表示されます(インストールされている場合)。これはCocospyとSpyicに組み込まれている機能で、被害者のデバイスにアプリを仕掛けた人物がアクセスを回復できるようにするためのものです。この場合、被害者はこの機能を使ってアプリがインストールされているかどうかを確認することもできます。
アプリが非表示になっている場合でも、Android 設定メニューのアプリ メニューからインストールされているアプリを確認することもできます。
TechCrunchには、一般的なAndroid向けスパイウェア削除ガイドがあり、一般的な種類の携帯電話ストーカーウェアを特定して削除するのに役立ちます。スパイウェアをオフにすると、スパイウェアを仕掛けた人物に警告される可能性があるため、安全対策を講じることを忘れないでください。
Androidユーザーにとって、Google Play プロテクトを有効にすることは、ストーカーウェアなどの悪意のあるAndroidアプリから身を守るための便利な保護対策です。まだ有効になっていない場合は、Google Playの設定メニューから有効にできます。
iPhoneやiPadをご利用で、不正アクセスの可能性があると思われる場合は、Appleアカウントで長くて重複のないパスワード(できればパスワードマネージャーに保存)を使用していること、また2段階認証が有効になっていることを確認してください。また、アカウントに登録されていないデバイスがあれば、確認して削除してください。
ご自身またはお知り合いの方が助けを必要としている場合は、全米家庭内暴力ホットライン(1-800-799-7233)が、家庭内暴力や暴力の被害者に対し、24時間365日、無料、秘密厳守のサポートを提供しています。緊急の場合は、911にお電話ください。スパイウェアに感染したと思われる場合は、ストーカーウェア対策連合(Coalition Against Stalkerware)がリソースを提供しています。
Zack Whittakerへの連絡は、SignalとWhatsApp(+1 646-755-8849)で安全に行えます。また、SecureDrop経由でTechCrunchと安全にドキュメントを共有することもできます。
Amazon からの追加回答により更新されました。
