ثغرة تكشف هوية مطور تطبيق تجسس خطير وتفضح بيانات الآلاف

كشف خرق أمني كبير أسرار تطبيق تجسس خطير يُعرف باسم “Catwatchful”، الذي يتخفى في شكل تطبيق لمراقبة الأطفال، بينما يمارس أنشطة تجسسية واسعة النطاق على المستخدمين.
الباحث الأمني الكندي إريك دايغل تمكّن من الوصول إلى قاعدة بيانات التطبيق، ليكتشف أنها تحتوي على معلومات شخصية وحساسة لأكثر من 62 ألف مستخدم و26 ألف جهاز، تشمل صورًا ورسائل وموقعًا جغرافيًا وتسجيلات صوتية وحتى لقطات من كاميرا الهاتف.

المثير أن خللًا تقنيًا بسيطًا لم يكشف فقط هوية الضحايا، بل أيضًا هوية مطوّر التطبيق، وهو مبرمج من أوروغواي يدعى عمر سوكا تشاركوف، الذي أدرج بياناته الشخصية داخل سجلات البرنامج دون انتباه. وتشير التحقيقات إلى أن التطبيق كان نشطًا منذ عام 2018، واستهدف مستخدمين في دول مثل المكسيك والهند وكولومبيا وبيرو والأرجنتين.

ورغم أن التطبيق يستخدم خدمات Firebase التابعة لغوغل لتخزين بيانات المستخدمين في ما قد يُعد خرقًا لشروط الاستخدام، فإن الشركة لم تتخذ إجراءات عاجلة، على الرغم من إبلاغها بالتفاصيل منذ يونيو الماضي. كما كشفت التحليلات التقنية أن التطبيق يستعمل واجهة برمجة تطبيقات غير مؤمنة، تسمح لأي شخص بالوصول إلى البيانات من دون الحاجة إلى تسجيل دخول، وقد تم تعليق الحساب المرتبط بها لفترة قبل أن يُعاد تفعيله عبر مزود استضافة آخر.

وصف الباحث دايغل التطبيق بأنه أداة خطيرة للملاحقة الرقمية تنتهك خصوصية الأفراد وتُستعمل أحيانًا في سياقات غير قانونية أو مسيئة. وعلى الرغم من مزاعم التطبيق بأنه لا يمكن إزالته، فإن كشف وجوده على هواتف أندرويد ممكن من خلال طلب الرمز 543210، وينصح الخبراء باتباع خطوات دقيقة ومحترفة لحذفه، خاصة في حالات ترتبط بالعنف الأسري، مع ضرورة طلب الدعم من منظمات متخصصة.