Na rynku pojawia się sporo aplikacji, służących do szpiegowania użytkowników telefonów komórkowych. Przechwytują smsy i bilingi, podają lokalizację, szpiegują, ile wlezie. Czasem jednak dzięki błędom w aplikacji szpiegowany też może się odegrać.
Twórcy aplikacji MobileSpy reklamują ją jako niewidzialne oprogramowanie szpiegowskie nowej generacji. MobileSpy obsługuje wszystkie istotne platformy – Androida, iPhone;a, BlackBerry i Windows 7 Phone. Po zainstalowaniu programu za jedyne 50 dolarów kwartalnej opłaty możemy, korzystając z serwera udostępnionego przez dostawcę aplikacji, czytać cudze smsy, sprawdzać połączenia wychodzące i przychodzące, oglądać na żywo ekran telefonu czy śledzić jego lokalizację. Dostajemy także listę odwiedzonych stron, zrobionych zdjęć i nakręconych filmów, otrzymanych i wysłanych emaili, czy też bazę kontaktów.
Dzięki analizie Vulnerability Labs wiemy, że całkiem gratis dostajemy również kilka poważnych błędów w programie i serwerze, który go obsługuje. Jednym z najciekawszych błędów jest możliwość osadzenia dowolnego kodu JS w… treści przesyłanego smsa. Osoba szpiegowana może w ten sposób kontrolować treść strony, wyświetlającej się w przeglądarce szpiegującego w momencie, gdy czyta on przechwycone smsy. Otwiera to przed szpiegowanym ciekawe możliwości jak chociażby przejęcie sesji szpiegującego. Na tym jednak nie koniec atrakcji – okazuje się, że serwer przedstawiający wyniki podsłuchu podatny jest na atak SQLi. Umożliwia to podsłuchiwanemu, który pozna adres serwera, odczytanie całej zawartości bazy aplikacji.
Dziury w MobileSpy przypominają exploit na exploita. Oprogramowanie, którego celem jest szpiegowanie innych użytkowników, samo wystawia swojego nabywcę na ryzyko ujawnienia tożsamości. Co ciekawe, raczej nie należy się spodziewać, że szpiegowany użytkownik MobileSpy zgłosi fakt bycia szpiegowanym organom ścigania – bo co powie? „Panie władzo, jak go szpiegowałem to zorientowałem się, że on mnie szpieguje”?
Komentarze
Windows 7 Phone nie ma programów na telefony z windows mobile ani 7 ani 8
mspy wykrywa na androidzie bez problemu CMsecurity bezpłatny w markecie