更新时间:2024-10-14 21:05:01
该公司销售一款与 Android 手机和 Windows PC 兼容的应用程序,该应用程序可以监控目标设备上的所有活动——无论是短信、电子邮件等。它声称这是“抓住出轨丈夫”的好方法,并鼓励客户在重要他人的手机或电脑上强行安装该产品——在其网站上提供有关如何做到这一点而不被抓住的有用提示。
凭借可爱、温馨的口号“从您的手机或电脑上观看它们”,该公司显然对表现得微妙或谦逊没有任何兴趣。相反,它向相反的方向全力以赴,让你知道它的产品是一种很好的方式,可以打破个人界限,挖掘你男朋友或女朋友设备的内部范围,监视你的员工,或者监视你自己的孩子。
最重要的是,据报道,该公司存在一个相当严重的安全,可能允许隐秘的操作员访问从受感染设备捕获的图像。
主板报告称,该公司将从受感染手机截取的屏幕截图上传到 AWS 服务器。但是,该服务器不受身份验证保护,这意味着您不需要密码或其他与安全相关的协议即可查看存储在其中的图像。相反,您所需要的只是特定屏幕截图的 URL — 为每个单独的图像自动生成的 URL 由关联的设备 ID、拍摄日期和时间戳组成。主板像这样分解整个事情:
pcTattleTale 捕获的图像的 URL 由设备 ID(由 pcTattleTale 提供给受感染设备的代码,该代码似乎是按顺序生成的)构成——日期和时间戳。从理论上讲,攻击者可能能够通过不同的 URL 组合来发现其他受感染设备上传的图像。
该是由一位名叫 Jo Coscia 的安全研究员发现的,他说他们在阅读该公司软件的试用版时发现了安全。主板同样下载了程序并独立验证了研究人员的发现。虽然该出口指出为特定图像重新创建单独的时间戳会很棘手,但从理论上讲,一个手头有很多时间和正确工具的不道德的人可以操纵这种情况来搜索除自己之外的其他图像。我们联系了 pcTattletale 征求意见,如果他们回复,我们会更新这个故事。
Stalkerware公司经常受到批评,无论是因为他们频繁的 安全 还是他们的基本前提——批评者说,这些公司允许施虐者监视和控制当前和前合作伙伴。pcTattletale 首席执行官 Bryan Fleming曾表示,像他这样的产品被女性过度使用,但NortonLifeLock 去年 2 月发表的一项研究称,男性对伴侣或前伴侣使用跟踪软件的可能性是男性的两倍多。进一步的分析表明,这种流行病大大增加了此类计划被用于对付妇女的程度。