एक खतरनाक और गुप्त Android स्टॉकरवेयर एप्लिकेशन Catwatchful बड़े स्तर पर सुरक्षा भंग (Security Breach) का शिकार हो गया है। इस घटना ने 62,000 से अधिक उपयोगकर्ताओं के ईमेल और पासवर्ड उजागर कर दिए हैं। यहां तक कि ऐप के खुद के एडमिनिस्ट्रेटर की संवेदनशील जानकारियां भी सार्वजनिक हो गईं। यह जानकारी कनाडा के साइबर सुरक्षा विशेषज्ञ एरिक डेगले (Eric Daigle) ने उजागर की, जिन्होंने इस ऐप की सुरक्षा प्रणाली में गंभीर खामियां पाईं।
क्या है Catwatchful?
Catwatchful एक नकली पैरेंटल कंट्रोल ऐप है, जो वास्तव में एक जासूसी (Spyware) सॉफ्टवेयर है। इसे Android डिवाइस पर इंस्टॉल कर के सीक्रेट तरीके से फोटो, कॉल, पासवर्ड, लोकेशन, यहां तक कि डिवाइस के माइक्रोफोन से आवाज रिकॉर्ड करने और कैमरा से वीडियो व तस्वीरें कैप्चर करने के लिए इस्तेमाल किया जाता है। यह सारा डेटा रीयल-टाइम में एक ऑनलाइन डैशबोर्ड पर अपलोड कर दिया जाता है, जिसे सिर्फ ऐप इंस्टॉल करने वाला व्यक्ति देख सकता है।
डेगले ने कैसे किया खुलासा?
- एरिक डेगले ने Catwatchful की जांच तब शुरू की, जब उन्होंने इसका तीन दिन का फ्री ट्रायल लिया। इस दौरान उन्होंने पाया कि उनका डेटा दो अलग-अलग स्थानों पर स्टोर हो रहा था, जिनमें से एक डोमेन catwatchful.pink पर था। ऐप इंस्टॉल करते समय यह कई प्रकार की परमिशन मांगता है। उसके बाद खुद को एक सिस्टम ऐप के रूप में छुपा लेता है, जिससे इसे पहचानना और हटाना लगभग नामुमकिन हो जाता है।
- इस ऐप का सारा डेटा Firebase में स्टोर होता है। यूजर वेब कंट्रोल पैनल के जरिए उसे एक्सेस कर सकते हैं। लेकिन डेगले ने पाया कि इस ऐप का कस्टम बैकएंड सिस्टम SQL injection जैसी गंभीर कमजोरी से ग्रस्त था, जिससे पूरी यूजर डाटाबेस तक पहुंच संभव हो गई।
कौन-कौन हुए प्रभावित?
TechCrunch की रिपोर्ट के अनुसार Catwatchful से प्रभावित डिवाइसेज की सबसे ज्यादा संख्या मैक्सिको, कोलंबिया, भारत, पेरू, अर्जेंटीना, इक्वाडोर और बोलिविया जैसे देशों में पाई गई। इस डाटाबेस में कुछ फाइलें 2018 तक की हैं, जिससे संकेत मिलता है कि यह ऐप कम से कम 7 वर्षों से सक्रिय है। यह गुपचुप तरीके से जानकारी चुरा रहा था।
स्टॉकरवेयर से कितना बड़ा खतरा?
इस घटना ने एक बार फिर स्टॉकरवेयर ऐप्स के बढ़ते खतरे को उजागर किया है। ये ऐप्स न केवल अनैतिक और गैरकानूनी हैं, बल्कि खुद भी असुरक्षित हैं। यह ऐप अपने यूजर्स की भी सुरक्षा नहीं कर पाया, जिससे यह स्पष्ट हो गया कि जासूसी करने वाले ऐसे टूल्स न केवल दूसरों की प्राइवेसी के लिए, बल्कि खुद इस्तेमाल करने वालों के लिए भी खतरा हैं।
