Une autre application mobile de cyberharcèlement a été piratée, mettant en danger à la fois ses clients et les victimes qu’ils espionnent. Selon Motherboard, un pirate anonyme a eu accès aux serveurs de TheTruthSpy, une société qui propose des logiciels espions pour que des partenaires jaloux se suivent mutuellement.
TheTruthSpy vend une application iOS et Android qui permet à quelqu’un d’espionner le téléphone d’une autre personne. Le logiciel n’est pas disponible sur les App Stores officielles et doit être installé sur un iPhone jailbreaké ou via une source alternative sur un téléphone Android. Selon le site web de l’entreprise, il devrait être installé sur “le téléphone que l’on possède et avoir un consentement préalable pour surveiller”. L’entreprise fait également la promotion de l’application pour piéger des conjoints infidèles, sans oublier la section intitulée “comment pirater un téléphone portable”. Hmmm !
Le texte du site, douloureusement rédigé, se lit comme suit :
Si vous ne pouvez pas vous assurer que votre conjoint vous trompe ou non, vous pouvez utiliser une application d’espionnage pour lever vos doutes. A l’aide des logiciels espions, vous pouvez collecter des preuves contre votre conjoint.
Le logiciel permet aux utilisateurs de suivre la position du téléphone d’une victime, de consulter ses historiques d’appels (y compris ceux supprimés), d’enregistrer les appels, de surveiller les messages instantanés, les SMS, les historiques de navigation et même d’espionner la victime où qu’elle se trouve.
Les clés du royaume en danger !
Le pirate, qui a contacté Motherboard en utilisant les initiales LM, a effectué une ingénierie inverse de l’application Android et a découvert une vulnérabilité qu’ils ont utilisée pour accéder au serveur média de la société. Là, ils ont pu accéder à une liste d’identifiants client uniques avec des fichiers audio.
Ils ont utilisé les identifiants en tant que paramètres dans les requêtes web, qui a renvoyé les noms d’utilisateur et les mots de passe des clients en clair. Un script rapide leur a permis de récupérer 10 000 identifiants de connexion. Ensuite, ils ont eu accès à des images, des enregistrements audio, des informations de localisation et des messages texte provenant des téléphones des victimes d’espionnage. C’est le rêve de tout harceleur mais cela met surtout des milliers de personnes en danger !
Ce piratage affecte également les personnes qui espionnent, car même en 2018, de nombreuses personnes réutilisent encore leurs mots de passe au niveau de plusieurs services. Cela a permis au pirate de s’introduire par exemple dans les comptes de messagerie et les comptes PayPal.
Motherboard a confirmé le tout, en vérifiant si les comptes existaient déjà. Il a constaté que la moitié d’entre eux étaient toujours actifs, prouvant ainsi que TheTruthSpy aurait pu utiliser un codeur compétent, en plus d’un correcteur/relecteur décent. Le pirate a depuis perdu l’accès aux comptes compromis après que TheTruthSpy ait mis à jour ses serveurs, a déclaré le journal.
Ce n’est pas la première société de logiciels espions à être piratée. Retina-X a stoppé son application après avoir été touchée plus tôt cette année.
Les logiciels espions mobiles sont liés aux violences conjugales
TheTruthSpy présente également l’application comme un mécanisme de surveillance des employés et de contrôle parental. Il s’agit là d’un modus operandi commun à ce qu’une équipe de chercheurs de Cornell Tech, de l’Université Cornell et de l’Université de New York, appelle des applications de “surveillance du partenaire intime” qui sont des outils courants dans un contexte de violences conjugales.
Les responsables de violences ont pu collecter des informations en utilisant ces applications pour traquer leurs actuels ou anciens partenaires. Dans certains cas, ils peuvent aller vraiment très loin. Une femme a été arrêtée après avoir installé un logiciel de suivi sur le téléphone de son petit ami, afin de le faire tuer !
Billet inspiré de Hacked stalking app reveals victims’ photos, texts and location info, sur Sophos nakedsecurity.