Solicitudes de API no autentificadas por los servicios de supervisión de dispositivos móviles
El software espía de consumo se vende a menudo bajo la apariencia de software de vigilancia de niños o familiares, pero también es conocido como stalkerware por su capacidad de rastrear y vigilar.
La web TechCrunch desveló un problema de seguridad de este tipo de software, que pone en riesgo los datos telefónicos, mensajes y ubicaciones de cientos de miles de dispositivos, recopilando información personalizada y enviándola a una infraestructura de servidores, controlada por un operador, como declara la web, con sede en Vietnam.
Concretamente, la infraestructura de backend compartida por múltiples servicios de monitorización de dispositivos móviles no autentifica ni autoriza adecuadamente las peticiones de la API, creando una vulnerabilidad IDOR (Insecure Direct Object Reference).
Referencias:
- 22/02/2022 techcrunch.com Behind the stalkerware network spilling the private phone data of hundreds of thousands
- 22/02/2022 cert.org Mobile device monitoring services do not authenticate API requests
- 22/02/2022 yahoo.com Behind the stalkerware network spilling the private phone data of hundreds of thousands
- 23/02/2022 adexchanger.com Proving The Telco Ad Hypothesis; Can Facebook Simply Make Reels Happen?