专家们揭示了超过150种窃取58个安卓跟踪软件应用控制权的方法

在来自不同供应商的58款安卓跟踪软件应用程序中，共发现了158个隐私和安全问题，这些问题可能使恶意行为者能够控制受害者的设备、劫持跟踪者的帐户、拦截数据、实现远程代码执行，甚至通过上传伪造证据陷害受害者。

这些新发现来自斯洛伐克网络安全公司ESET对Android平台上86个跟踪软件应用的分析，强调这种做法的意外后果，这种做法不仅不道德，而且在过程中还可能暴露受害者的私人和私密信息，使他们面临网络攻击和欺诈的风险。

ESET研究员卢卡斯·斯特凡科（Lukas Stefanko）在周一的一篇文章中说：“由于跟踪者和受害者之间可能存在密切关系，跟踪者的私人信息也可能被曝光。”。“在我们的研究过程中，我们发现一些跟踪软件保存了使用该应用程序的跟踪者的信息，并在服务器上收集了受害者的数据，即使跟踪者请求删除这些数据。”

迄今为止，只有六家供应商修复了应用程序中发现的问题。44家供应商选择不承认披露的信息，另有7家供应商声称他们打算在即将发布的更新中解决这些缺陷。“一家供应商决定不修复报告的问题，”斯特凡科说。

跟踪软件，也被称为spyware或spyware，是指侵入性软件，使个人能够在未经他人同意的情况下远程监控另一用户设备上的活动，目的是促进亲密伴侣的监视、骚扰、虐待、跟踪和暴力。

根据ESET收集的遥测数据，与2019年相比，2020年安卓间谍软件检测激增了48%，与2018年相比，安卓间谍软件检测增加了五倍。尽管谷歌对间谍软件和监控技术的广告设置了限制，但跟踪软件提供商通过伪装成儿童、员工或女性安全应用程序，成功地避开了此类防御。

Among the most prevalent issues uncovered are as follows —

• 来自九家不同供应商的应用程序基于名为Droid Watcher的开源Android间谍软件，其中一家供应商使用Metasploit负载作为监控应用程序。
• 一些应用程序有明文形式的硬编码许可证密钥，允许轻松窃取软件。ESET分析的其他应用程序会禁用通知和Google Play Protect，以故意削弱设备的安全性。
• 22个应用程序通过未加密的连接将用户的个人身份信息传输到跟踪软件服务器，从而允许同一网络上的对手发起中间人攻击并更改传输的数据。
• 19个应用程序在外部媒体上存储敏感信息，如击键日志、照片、录制的电话，以及音频、日历事件、浏览器历史记录、联系人列表。这可能允许任何可以访问外部存储的第三方应用程序在无需额外许可的情况下读取这些文件。
• 17个应用将存储在服务器中的用户信息暴露给未经授权的用户，而无需任何身份验证，从而允许攻击者完全访问通话日志、照片、电子邮件地址、IP日志、IMEI号码、电话号码、Facebook和WhatsApp消息以及GPS位置。
• 17个应用程序通过其服务器泄露客户端信息，从而允许受害者使用设备的IMEI号码检索跟踪者的信息，并创造了一个“强行使用设备ID并转储所有跟踪者客户端的机会”
• 15个应用程序在安装后，甚至在跟踪者注册和设置帐户之前，立即将未经授权的数据从设备传输到服务器。
• 13个应用程序对受害者手机上传的数据没有足够的验证保护，这些应用程序在通信过程中仅依靠IMEI号码识别设备。

最后一个问题也值得关注，因为攻击者可能会利用它来拦截和篡改数据。斯特凡科说：“在获得适当许可的情况下，设备上安装的其他应用程序可以轻松提取这些标识符，然后可以将伪造的短信、照片、电话和其他虚构数据上传到服务器，以陷害受害者或使他们的生活更加困难。”。