Un bug a été découvert dans plusieurs applications d’espionnage, les fameux « stalkerwares ». Il s’agit d’un logiciel espion programmé pour surveiller une personne à son insu. Ces applications, disponibles sur Android ou iOS, sont souvent installées sur un smartphone par un proche, comme un conjoint jaloux ou un parent curieux. Elles permettent de surveiller les déplacements, les messages et toutes les communications. Dans certains cas, il est aussi possible de visualiser à distance le contenu affiché sur l’écran du téléphone. Les clients de ces apps sont généralement appelés des « stalkers ».
Un chercheur en sécurité a en effet découvert une vulnérabilité dans le code de trois applications d’espionnage, à savoir Cocospy, Spyic et Spyzie, rapportent nos confrères de TechCrunch. Comme l’explique MalwareBytes, qui relaie l’information, les applications de surveillance « sont notoirement mal codées et sécurisées ».
À lire aussi : 244 millions de mots de passe piratés – êtes-vous touché par cette nouvelle fuite de données ?
Des clients exposés par une faille
En exploitant cette faille, le chercheur a pu exfiltrer les données des clients des stalkerwares. L’expert a en effet mis la main sur les adresses e-mail de chaque client des applications. La vulnérabilité expose donc toutes les personnes qui se servent d’une application espion pour surveiller leurs proches.
La brèche permet de compromettre plus de 3 millions de clients des apps Cocospy, Spyic et Spyzie. Les utilisateurs affectés disposent de smartphones Android ou d’iPhone, explique le chercheur à l’origine de la découverte. Dans le détail, ce sont les 518 643 adresses mail uniques des clients de Spyzie, 1,81 million d’adresses mail des clients de Cocospy et 880 167 adresses mail des clients de Spyic qui ont pu être exposées.
Les données des victimes sont également exposées
Par ailleurs, les données des victimes pouvaient aisément être collectées par un assaillant. Parmi les informations que le chercheur a pu obtenir, on trouve des informations sensibles provenant des téléphones surveillés, notamment des messages personnels, des photos privées et l’historique précis des déplacements de chaque individu. Il s’avère que le bug est extrêmement facile à exploiter. C’est pourquoi le chercheur n’a pas souhaité divulguer comment il a procédé pour arriver à ses fins.
C’est déjà la 24ᵉ fois depuis 2017 qu’un stalkerware est victime d’une fuite de données personnelles. Comme le souligne MalwareBytes, des apps comme mSpy, PCTattleTale et TheTruthSpy ont également subi des violations de données d’envergure ces dernières années.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : TechCrunch
