Špijunske aplikacije, alate za nadzor maloljetnika i zaposlenika koji koriste uređaje u vlasništvu kompanije, sve se češće koriste za tajno praćenje supružnika ili partnera. Jednom instalirane, one diskretno dokumentiraju upotrebu uređaja, od tekstualnih poruka, preko e-pošte i slika do telefonskih poziva, i omogućavaju daljinski pristup informacijama putem web portala.
Ovim problemom pozabavili su se inžinjeri sa univerziteta u New Yorku i San Diegu te Cornell Techa koji će rad predstaviti ovog ljeta na simpoziju o tehnologijama za poboljšanje privatnosti PETS 2023 u Zürichu. Oni su dubinski analizirali 14 vodećih špijunskih aplikacija za Android telefone. Iako Google ne dopušta prodaju takvih aplikacija u trgovini aplikacija, Android telefoni obično dopuštaju odvojeno preuzimanje takvih invazivnih aplikacija putem weba.
Potajno snimanje
Istraživači su otkrili da špijunske aplikacije koriste širok raspon tehnika za potajno snimanje podataka. Na primjer, jedna aplikacija koristi nevidljivi preglednik koji može prenositi video uživo s kamere uređaja na poslužitelj špijunskog softvera. Aplikacije također mogu snimati telefonske pozive putem mikrofona uređaja, ponekad aktivirajući funkciju zvučnika u nadi da će uhvatiti i ono što govore sagovornici.
Zaposlenici Kremlja moraju zamijeniti iPhone drugim markama telefona
Nekoliko aplikacija također iskorištava karakteristike pristupačnosti na pametnim telefonima, dizajnirane za čitanje onoga što se pojavljuje na ekranu za slabovidne korisnike. Na Androidu ove karakteristike učinkovito omogućavaju špijunskom softveru da, na primjer, bilježi pritiske tipki.
Istraživači su također pronašli nekoliko metoda koje aplikacije koriste za skrivanje na uređaju; na primjer, ne pojavljuju se na traci za pokretanje ili se njihove ikone maskiraju kao "Wi-Fi" ili "Internetska usluga". Četiri špijunske aplikacije prihvaćaju naredbe putem SMS poruka. Dvije pregledane aplikacije uopće nisu provjerile dolazi li tekstualna poruka od njihovog klijenta i svejedno su izvršile naredbe. Jedna aplikacija čak može izvršiti naredbu koja može daljinski obrisati žrtvin telefon.
Istraživači su ispitali i koliko neozbiljno špijunske aplikacije štite osjetljive korisničke podatke koje prikupljaju. Pokazalo se da nekoliko njih koristi nešifrirane komunikacijske kanale za prijenos prikupljenih podataka poput fotografija, tekstova i lokacije. Ti podaci također uključuju šifre za prijavu osobe koja je kupila aplikaciju. Sve te informacije neko drugi može lako prikupiti putem WiFi-ja.
U većini analiziranih aplikacija ti su podaci pohranjeni u javnim URL-ovima dostupnim svima s vezom. U nekim se slučajevima korisnički podaci pohranjuju u predvidljivim URL-ovima koji omogućavaju pristup podacima s više računa jednostavnim izbacivanjem nekoliko znakova u URL-ovima. U jednom slučaju istraživači su identificirali slabost autentifikacije u vodećoj špijunskoj usluzi koja bi bilo kome omogućila pristup svim podacima za svaki račun.
Ne brišu podatke
Mnoge od tih aplikacija zadržavaju osjetljive podatke bez korisničkog ugovora ili nakon što ih korisnik prestane koristiti.
Četiri od 14 proučavanih aplikacija ne brišu podatke sa servera špijunskog softvera čak i kad korisnik izbriše svoj račun ili nakon isteka licence. Jedna aplikacija snima podatke od žrtve tokom besplatnog probnog razdoblja, ali ih stavlja na raspolaganje tek nakon plaćanja pretplate. Štaviše, aplikacija čuva podatke čak i bez pretplate.
Pokazalo se i kako mnoge špijunske aplikacije odolijevaju pokušajima da ih se deinstalira. Neke su se automatski ponovno pokrenule nakon što ih je zaustavio sisten ili nakon ponovnog pokretanja uređaja.
Istraživanje se nastavlja, a posebna će pažnja biti posvetćena proučavanju opskrbnog lanca koji omogućava instalaciju špijunskih aplikacija izvan Kine i Brazila, zemalja odakle većina tih aplikacija vuče porijeklo.
