Дослідник виявив вразливість у шпигунській програмі Catwatchful для Android, яка рекламується як рішення для батьківського контролю. Проблема розкривала дані понад 62 000 користувачів, включаючи адреси електронної пошти та паролі відкритим тестом.

Як виявив ІБ-спеціаліст Ерік Дейгл (Eric Daigle), Catwatchful функціонує саме так, як заявляють розробники: залишається прихованим на пристроях жертв та завантажує контент у БД Firebase, дозволяючи зареєстрованим користувачам отримувати доступ до нього через веб-панель.

Вивчаючи внутрішній пристрій Catwatchful, експерт виявив, що програма вразлива перед SQL-ін’єкціями, що дозволяє витягти БД Firebase, що містить особисту інформацію користувачів та їх жертв. Справа в тому, що API програми не вимагав аутентифікації, що дозволяло будь-якому користувачеві взаємодіяти з БД.

Знайдена база містила логіни та паролі всіх 62 050 зареєстрованих облікових записів Catwatchful у відкритому вигляді, дані про прив’язку облікових записів до конкретних пристроїв, а також інформацію, зібрану з 26 000 пристроїв жертв. Більшість скомпрометованих пристроїв перебували у Мексиці, Колумбії, Індії, Перу, Аргентині, Еквадорі та Болівії. Причому, деякі з них були заражені Catwatchful ще в 2018 році.

За словами дослідника, вся ця інформація могла використовуватися для захоплення будь-якого облікового запису Catwatchful.

Хоча розробник Catwatchful заявляв, що його неможливо виявити, користувачі Android можуть перевірити, чи встановлена ​​програма на їхніх пристроях. Для цього потрібно набрати «543210» та натиснути кнопку виклику. Цей вбудований бекдор використовується для видалення спайварі і змусить шпигунське програмне забезпечення розкрити свою присутність.