Techwebsite TechCrunch heeft een tool gelanceerd waarmee Android-gebruikers kunnen controleren of ze besmet zijn met spyware. Eerder dit jaar meldde de website dat een netwerk van stalkerware-apps afkomstig van één bedrijf de gegevens van zo'n vierhonderdduizend smartphones lekt. Het gaat om apps met namen als Copy9, MxSpy, iSpyoo, SecondClone, TheSpyApp, ExactSpy, GuestSpy en FoneTracker.

Stalkerware is de benaming voor commercieel verkrijgbare software waarmee smartphone- en computergebruikers zijn te bespioneren. De software wordt zonder medeweten van het slachtoffer op zijn of haar telefoon of computer geïnstalleerd, bijvoorbeeld wanneer iemand fysieke toegang tot de telefoon heeft en geeft de gebruiker onder andere toegang tot ontvangen en verstuurde berichten, locatie, foto's en andere data van het slachtoffer.

TechCrunch ontdekte negen identieke stalkerware-apps die van dezelfde serverinfrastructuur gebruikmaken. Gebruikers van de stalkerware kunnen via deze servers informatie opvragen die over slachtoffers is verzameld. De hiervoor gebruikte API-requests worden echter onvoldoende geauthenticeerd of geautoriseerd wat tot een IDOR-kwetsbaarheid leidt.

IDOR staat voor Insecure direct object references. Dit soort beveiligingslekken doet zich voor wanneer een webapplicatie of API een identifier gebruikt om een object in een database op te vragen zonder authenticatie of andere vorm van toegangscontrole. Door de kwetsbaarheid, aangeduid als CVE-2022-0732, kan een aanvaller zonder enige inloggegevens persoonlijke informatie benaderen die via de stalkerware-apps is verzameld, zo meldt het het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit.

De stalkerware-ontwikkelaar werd over de kwetsbaarheid gewaarschuwd, maar ondernam geen verdere actie. In april ontving TechCrunch een verzameling bestanden afkomstig van de stalkerware-servers. Het gaat onder andere om een lijst met IMEI-nummers van slachtoffers, die zich mede in Europa bevinden. TechCrunch biedt nu een "lookup tool" die gebruikers na het invoeren van hun IMEI-nummer laat weten of ze op de lijst voorkomen.

De Amerikaanse burgerrechtenbeweging EFF, die zich bezighoudt met de bestrijding van stalkerware, waarschuwt slachtoffers om de stalkerware op een veilige plek te verwijderen. Bij het verwijderen zal de persoon die de spyware installeerde waarschijnlijk worden gewaarschuwd, wat voor een onveilige situatie kan zorgen.