消费级间谍软件通常以儿童监控软件的名义出售,由于能在未经他人同意下跟踪和监控,所以也被称为“跟踪软件”。只要能物理访问手机,就可以悄悄安装跟踪软件且可将它在主屏幕上隐藏起来,它会在机主不知情下,持续不断地悄悄上传通话记录、消息、照片、浏览历史记录和精确的位置数据。此类间谍软件多是专为 Android 打造,在 Android 手机中植入恶意应用比在 iPhone 上更容易,iPhone 对可安装应用类型和可访问数据有更严格的限制。去年 10 月 TechCrunch 披露了一个消费级间谍软件安全问题,该问题使数十万人的私人电话数据、消息和位置信息处于危险之中。在此例中,
泄露收集数据的不仅仅是一款间谍软件。有多款 Android 间谍软件都具有同样的安全漏洞。
造成问题的是一系列白标 Android 间谍软件,它们不断收集个人手机上的内容,每一款应用程序都有自定义的品牌,还有美国公司的网站,掩盖了通往其真正的运营商的链接。应用的背后是控制服务器基础设施,该运营商是一家名为 1Byte 的越南公司。TechCrunch 发现了九款几乎一模一样的应用程序,品牌完全不同,其中一些应用的名称比其他的更晦涩:Copy9、MxSpy、TheTruthSpy、iSpyoo、SecondClone、TheSpyApp、ExactSpy、FoneTracker 和 GuestSpy。除了名称不同,间谍软件功能一模一样,甚至连间谍软件设置的用户界面都一样。安装之后,每款应用都允许植入间谍软件的人访问网络面板,实时查看受害者的电话数据——他们的消息、联系人、位置和照片等。这些应用程序都和相同的服务器基础设施联系。但是由于这九款应用程序使用的是同样的代码、网络面板和同样的基础架构,它们当然也就有同样的漏洞。
这里所说的漏洞被称为不安全的直接对象引用(IDOR),这是一类由于安全控制低于标准或者根本没有安全控制造成的服务器上文件和数据暴露的 Bug。类似于需要一把钥匙来打开你的邮箱,但是这把钥匙也能打开你附近所有其他的邮箱。IDORs 是最常见的漏洞类型之一。但是粗制滥造的代码编写不仅仅暴露了普通人的私人电话数据。整个间谍软件基础设施充满了 Bug,这些 Bug揭示出了更多关于运营商本身的细节。这就是我们如何得知该运营商已经危及了大约 40 万台设备——可能还有更多。粗制滥造的代码编写还导致了其关联公司的个人信息的暴露,这些关联公司带来了新的付费客户,他们可能认为这些信息是私密的;甚至该运营商自己也这么认为。