كشف باحث أمني عن ثغرة خطيرة في تطبيق تجسس يُعرف باسم Catwatchful، تعمل على نظام أندرويد، تسببت في تسريب بيانات آلاف المستخدمين، بمن فيهم المدير المسؤول عن تطوير التطبيق.
اكتشف الباحث إريك دايغل هذه الثغرة، والتي أدت إلى كشف قاعدة بيانات ضخمة تضم عناوين بريد إلكتروني وكلمات مرور مخزّنة بنصوص مكشوفة، استخدمها عملاء Catwatchful للوصول إلى المعلومات التي تم سرقتها من هواتف ضحاياهم.
تم تطوير تطبيق Catwatchful كبرنامج تجسس مموّه يظهر وكأنه تطبيق لمراقبة الأطفال، مدعيًا أنه "غير مرئي ولا يمكن اكتشافه". لكن في الحقيقة، يعمل التطبيق على جمع بيانات خاصة من هاتف الضحية، بما في ذلك الصور، الرسائل، الموقع الجغرافي اللحظي، بل وحتى التنصت الصوتي باستخدام ميكروفون الهاتف، إضافة إلى الوصول إلى الكاميرتين الأمامية والخلفية.
نظرًا لطبيعتها، تُمنع تطبيقات مثل Catwatchful من النشر على متاجر التطبيقات الرسمية، إذ يتم تثبيتها يدويًا من قِبل شخص يملك وصولًا مباشرًا إلى الهاتف المستهدف. لذلك، يُطلق على هذه التطبيقات مصطلح "برامج الملاحقة" أو "تطبيقات الزوج/الزوجة"، لأنها غالبًا ما تُستخدم لمراقبة الشريك دون علمه، وهو أمر غير قانوني.
يُعد هذا التسريب جزءًا من سلسلة متزايدة من حالات اختراق برامج المراقبة، وهو على الأقل خامس حادثة من نوعها خلال العام الجاري، حيث يتم فيها كشف بيانات المستخدمين أو فضح هوية مطوري تلك البرمجيات. ويُظهر هذا مدى ضعف الأمان في مثل هذه التطبيقات، والتي تشكّل خطرًا على كل من المستخدمين الذين يشترونها والضحايا الذين لا يعلمون بوجودها على أجهزتهم.
وبحسب نسخة من قاعدة البيانات التي حصل عليها موقع TechCrunch في بداية يونيو، فإن تطبيق Catwatchful احتوى على بيانات أكثر من 62,000 مستخدم، بالإضافة إلى معلومات من نحو 26,000 جهاز تم التجسس عليه.
وأوضحت البيانات أن الغالبية العظمى من الهواتف المتأثرة تقع في دول مثل المكسيك، كولومبيا، الهند، بيرو، الأرجنتين، الإكوادور، وبوليفيا، وبعض هذه السجلات تعود إلى عام 2018.
ومن خلال تلك البيانات، تبيّن أن مطور التطبيق هو عمر سوكا تشاركوف، مقيم في أوروغواي. ورغم أن تشاركوف اطلع على رسائل البريد الإلكتروني المرسلة إليه، إلا أنه لم يرد على استفسارات TechCrunch، التي سألته عمّا إذا كان على علم بالخرق، وهل يعتزم إخطار المستخدمين بذلك.
ونظرًا لعدم وجود أي تصريح رسمي من قِبل تشاركوف، سلّمت TechCrunch نسخة من قاعدة بيانات التطبيق إلى منصة Have I Been Pwned، المختصة بإشعارات تسريبات البيانات.
بيانات Catwatchful كانت مخزنة على خوادم Firebase من Google
استعرض الباحث إريك دايغل، الذي سبق أن عمل على تحقيقات حول برامج المطاردة، تفاصيل هذا التسريب في مدونته. وبيّن أن التطبيق يستخدم واجهة برمجة تطبيقات (API) خاصة لتسهيل إرسال البيانات من الأجهزة المصابة إلى خوادمه، والتي تعتمد على منصة Firebase التابعة لجوجل لتخزين المعلومات.
وأشار دايغل إلى أن هذه الواجهة لم تكن محمية، ما يعني أن أي شخص يستطيع الوصول إلى قاعدة البيانات والتفاعل معها بدون الحاجة إلى تسجيل دخول، وهو ما أدى إلى كشف جميع بيانات العملاء.
بعد التواصل مع TechCrunch، أوقفت شركة الاستضافة واجهة الـ API مؤقتًا، لكنها عادت لاحقًا للعمل على خوادم HostGator. ولم تُصدر المتحدثة باسم HostGator، كريستين أندروز، أي بيان رسمي بشأن استضافة هذا النوع من التطبيقات.
وللتحقق من ذلك، قام فريق TechCrunch بتثبيت التطبيق في بيئة افتراضية على جهاز Android غير حقيقي، ما مكّنهم من مراقبة حركة البيانات، حيث أظهرت النتائج أن التطبيق يقوم برفع البيانات مباشرة إلى حساب Firebase تابع لـ Catwatchful.
وبعد تسليم نسخة التطبيق إلى شركة Google، أعلنت الأخيرة عن تحديثات جديدة لأداة الحماية Google Play Protect، لتتمكن من تنبيه المستخدمين عند وجود تطبيق Catwatchful أو محاولات تثبيته على الجهاز.
كما قدمت TechCrunch تفاصيل حول حساب Firebase المستخدم في تخزين بيانات الضحايا. وعند سؤال Google عمّا إذا كان هذا التطبيق ينتهك شروط استخدام منصة Firebase، أجابت في 25 يونيو أنها تجري تحقيقًا في الحادثة، وستتخذ الإجراءات المناسبة في حال ثبوت الانتهاك.
وصرّح المتحدث باسم Google، إد فرنانديز، أن جميع التطبيقات التي تعتمد على Firebase يجب أن تلتزم بسياسات الشركة، مضيفًا أن Google Play Protect يوفر حماية استباقية للمستخدمين.
ورغم ذلك، ما يزال Catwatchful نشطًا حتى لحظة نشر التقرير.
كيف تم الكشف عن هوية المطور؟
في أغلب الحالات، لا يفصح مطورو تطبيقات التجسس عن هويتهم لتجنّب الملاحقة القانونية أو المساءلة الأخلاقية. إلا أن خطأً في تكوين قاعدة البيانات الخاصة بـ Catwatchful أدى إلى تسريب معلومات تُثبت أن عمر تشاركوف هو المسؤول المباشر عن هذه العملية.
فمن خلال مراجعة البيانات، تبين أن أول سجل موجود في المجموعة يعود إلى حساب تشاركوف، مما يشير إلى أنه كان أول من اختبر التطبيق على جهازه.
كما احتوت الملفات على الاسم الكامل لتشاركوف، رقم هاتفه، ورابط حساب Firebase المرتبط بتخزين بيانات الضحايا. علاوة على ذلك، وُجد عنوان بريده الإلكتروني الشخصي نفسه الموجود في صفحته على LinkedIn، والتي أصبحت خاصة لاحقًا. كما تم ربط عنوان بريد إلكتروني آخر خاص باسترجاع كلمة المرور بحساب Catwatchful، ما يعزز الدليل على ارتباطه المباشر بالتطبيق.
طريقة كشف وإزالة تطبيق Catwatchful من جهازك
رغم أن Catwatchful يزعم استحالته في الحذف، إلا أن هناك طريقة بسيطة تمكن المستخدم من التحقق مما إذا كان مثبتًا على الجهاز وإزالته.
لكن، من الضروري التخطيط قبل القيام بأي خطوة، لأن حذف التطبيق قد يُنبه الشخص الذي زرعه. ويُوصى بالاستعانة بموارد التحالف ضد برامج الملاحقة لمساعدة الضحايا.
وللكشف عن التطبيق، يمكن لمستخدمي أندرويد الاتصال بالرقم 543210 عبر لوحة مفاتيح الهاتف، ثم الضغط على زر الاتصال. إذا كان التطبيق مثبتًا، سيظهر تلقائيًا على الشاشة. هذه الميزة تُستخدم غالبًا من قِبل من زرع التطبيق لإعادة إظهاره بعد إخفائه، ويمكن استخدامها أيضًا من قِبل أي مستخدم للكشف عنه.
تُعد هذه الحادثة تذكيرًا قويًا بخطورة تطبيقات التجسس المنتشرة خارج متاجر التطبيقات الرسمية، وضرورة البقاء على اطلاع دائم بحماية أجهزتنا وبياناتنا. إذا كنت مهتمًا بمزيد من أخبار الخصوصية والتقنية، تابعنا على صفحة الفيسبوك وابقَ على اتصال معنا عبر تويتر - X لأحدث المقالات والمستجدات التقنية.
