Taking over 60k spyware user accounts with SQL injection
10 months ago
- #SQL-injection
- #stalkerware
- #cybersecurity
- Catwatchful是一款功能齐全的安卓监控软件,提供3天免费试用,并自我标榜为跟踪软件
- 该软件隐形运行无法察觉,既不能卸载也无法停止,能在完全隐匿状态下收集数据
- 注册流程需同时在Firebase和catwatchful.pink的自定义数据库中创建账户
- 这款间谍软件要求大量权限,伪装成通用「设置」图标,并在后台持续运行
- 用户数据存储于Firebase,借助其安全特性减少了受攻击面
- 研究人员在catwatchful.pink服务器发现SQL注入漏洞,可未经授权访问数据库
- 该漏洞导致约62,000个Catwatchful账户的明文登录凭证泄露
- 漏洞曝光后,通过联系谷歌和托管服务商等多方渠道试图关停该服务
- 尽管初期遭到关停,该服务更换新域名重新上线,后期还部署WAF防御SQL注入攻击