Сервис для слежки за супругами позволял просматривать данные с чужих аккаунтов
Web-сайт и соответствующее приложение для слежки за детьми, подчиненными и неверными супругами позволяют любому пользователю сервиса получать доступ к данным из чужих учетных записей и перехватывать сообщения 28 тыс. пользователей.
Речь идет о приложении Xnore для Android-устройств, iPhone и BlackBerry, способном перехватывать сообщения в Facebook и WhatsApp, электронную переписку, фотографии, историю браузинга и GPS-координаты, а также записывать телефонные звонки.
Как сообщает издание Motherboard, уязвимость в картографической функции на сайте Xnore позволяет любому, кто откроет HTML-код страницы, увидеть мобильный идентификатор, используемый Xnore для просмотра и сбора данных. С помощью этого идентификатора пользователи сервиса могут добавлять перехваченные с чужого аккаунта данные в свой собственный.
Журналистам Motherboard стало известно о проблеме от обнаружившего ее исследователя под псевдонимом L&M. «Подобные компании заботятся лишь о том, как шпионить, а конфиденциальность данных жертв и их безопасность их не интересует», – отметил L&M.
Журналистам удалось подтвердить наличие уязвимости на сайте Xnore и получить доступ к текстовым сообщениям и другой информации на одном из зараженных устройств, принадлежавшему ребенку.
Когда пользователь загружает приложение Xnore, ему присваивается мобильный идентификатор. Из HTML-кода страницы с картой на сайте Xnore злоумышленник может узнать идентификатор другого пользователя, а затем добавить его при загрузке приложения и тем самым получить доступ к данным на чужом зараженном устройстве.
Получив уведомление от Motherboard, операторы сайта удалили картографическую функцию со своего сайта и добавили «дополнительный уровень аутентификации при добавлении устройств».
Читайте также
- Ошибка в API Facebook предоставляла доступ к фото 6,8 млн пользователей
- Одного ноутбука оказалось достаточно для компрометации всей корпоративной сети
- Депутаты Госдумы разработали план по обеспечению работы Рунета на случай отключения от Сети
- Морские суда часто подвергаются кибератакам
- 25 декабря состоится встреча сообщества специалистов по кибербезопасности АСУ ТП / RUSCADASEC
- Уязвимость в приложении Logitech позволяла удаленно инициировать нажатие клавиш