近日,在美国颇为流行的商业间谍软件工具pcTattletale登上了美国科技媒体头条,因为该工具的安全漏洞导致17TB用户敏感数据在互联网上公开泄露。
“一键跟踪”的爆款商业间谍软件
pcTattletale是一款公开销售的商业间谍软件,可安装在Windows和Android操作系统设备上,用于远程截取屏幕信息取证,广泛用于跟踪个人(例如夫妻互相监控、父母监控子女)。许多美国酒店入住系统、公司和律师事务所的电脑也安装了该软件,用于监控员工、客户或开展“个性化营销”。
pcTattletale最大卖点是易用性,把高端复杂的间谍软件做成了老幼妇孺皆可轻松上手的爆款产品。
用户只需在其官网上注册,就可获得定制.exe或.apk跟踪文件,然后在目标设备上安装即可实施持续跟踪(实时屏幕截图)。
该定制文件与用户凭证绑定,从而将安装过程简化为只需两次点击,把易用性做到了极致。安装完成后,间谍软件用户只需登录网站帐户即可触发或访问监控对象的屏幕截图/录屏视频。但pcTattletale提供的所谓录屏视频记录并非视频文件,而是相隔几秒钟拍摄的静态屏幕截图,这些屏幕截图被拼接在一起并以.GIF文件的形式播放,以生成目标所需的(视频)记录。
暗藏后门泄露17TB敏感数据
上周,安全研究人员Eric Daigle发现pcTattletale的API中存在一个严重的低级漏洞:该间谍软件附带了硬编码的AWS凭证,可通过隐藏的Webshell后门访问其亚马逊存储桶(用于存储用户的截屏数据),这意味着攻击者可轻易获取安装了该间谍软件的设备的屏幕截图数据。
漏洞披露不久后,pcTattletale遭遇了黑客攻击,黑客从pcTattletale的亚马逊S3存储桶中窃取了高达17TB敏感数据(主要为屏幕截图)被黑客在互联网上公开泄露(下图),任何人都可获取,其中一些截图可追溯到2018年。
黑客公布的数据泄露清单包括数据库转储、stalkerware服务的完整webroot文件以及其他S3存储桶内容,暴露了多年的用户敏感信息。Daigle指出,根据泄露数据样本,大量美国酒店、公司电脑以及至少两家律师事务所似乎都受到了该漏洞的攻击。
虽然pcTattletale花了足足20个小时将入侵的官网关闭,但其客户端软件仍然在源源不断将屏幕截图上传到S3存储桶,直到亚马逊出手锁定了pcTattletale的AWS账户(下图):
值得注意的是,黑客在攻击中发现的Webshell后门至少从2011年12月起就隐藏在间谍软件的后端代码中,允许通过使用cookie执行任意PHP代码,这引发了人们对其来源的疑问——它是pcTattletale自己放置的后门,还是其他黑客放置的?
安全人员buran77指出,这表明pcTattletale基本上一直被后门程序控制,并且多年来可能一直有外部行为者窃取数据。
“受害者”遍布全美各行各业
pcTattletale间谍软件数据泄露事件可谓一石激起千层浪,受影响的受害者(间谍软件用户及其监控目标)遍布全美各个行业。
根据安全研究人员maia crimew对泄露数据的初步分析,大量企业和机构都是该工具的忠实用户,其中包括银行、律师事务所、教育机构、医疗机构甚至政府机构等。研究人员分享的一些数据泄露样本/用例如下:
酒店泄露客人信息,例如个人数据和信用卡详细信息。律师事务所曝光律师与客户之间的沟通以及客户银行路由信息。一家银行泄露机密客户数据。学校、托儿所等教育机构监视员工或学生,泄露个人数据。医疗机构泄露患者信息。巴勒斯坦政府机构雇员受到监控。波音公司供应商的人力资源部门泄露员工个人信息。科技公司在涉嫌不法行为的员工设备上秘密安装pcTattletale,暴露内部系统和源代码。一名漏洞赏金猎人安装了该软件进行渗透测试,然后立即试图卸载它。从曝光的泄露数据来看,pcTattletale的应用场景极为广泛,不仅被父母用于监视孩子,配偶相互监视,而且还被大量酒店、律师事务所、学校、科技公司(甚至包括波音公司)用于跟踪员工、客户。这意味着pcTattletale数据泄露事件不仅会泄露大量政企机密信息,同时可能引发大规模的隐私、商业伦理和社会问题。
鉴于受影响的公司范围广泛且存在重大安全漏洞,安全研究员maia crimew指出,pcTattletale可能面临被停业的严重后果,因为美国联邦贸易委员会(FTC)此前已下令其他美国跟踪软件开发商在发生数据泄露事件后停止运营,而pcTattletale的案件也将面临类似的结果。
无论最终结果如何,pcTattletale数据泄露/后门事件都暴露了美国数据安全治理的严重漏洞,很多专业人士质疑该商业间谍软件如何绕过各种数据和隐私安全法规得以公开销售,并担忧同样主打“屏幕截图”的微软Windows的“回忆功能”会引发另一场更大规模的隐私灾难。
参考链接:
https://maia.crimew.gay/posts/fuckstalkerware-6/