Een leverancier van Android-stalkerware lekt al jarenlang de gevoelige gegevens van slachtoffers via een bekende IDOR-kwetsbaarheid en inmiddels hebben aanvallers al meerdere keren misbruik van het beveiligingslek gemaakt. Dat laat TechCrunch weten. Stalkerware is de benaming voor commercieel verkrijgbare software waarmee smartphone- en computergebruikers zijn te bespioneren.

De software wordt zonder medeweten van het slachtoffer op zijn of haar telefoon of computer geïnstalleerd, vaak door een gebruiker die fysieke toegang heeft. Via de stalkerware hebben gebruikers onder andere toegang tot ontvangen en verstuurde berichten, locatie, foto's en andere data van hun slachtoffers. Begin 2022 bleek dat negen identieke stalkerware-apps genaamd Copy9, MxSpy, TheTruthSpy, iSpyoo, SecondClone, TheSpyApp, ExactSpy, FoneTracker en GuestSpy een kwetsbaarheid bevatten waardoor ze gegevens van gebruikers lekken.

De apps in kwestie maken gebruik van dezelfde serverinfrastructuur. Gebruikers van de stalkerware kunnen via deze servers informatie opvragen die over slachtoffers is verzameld. De hiervoor gebruikte API-requests worden echter onvoldoende geauthenticeerd of geautoriseerd wat tot een IDOR-kwetsbaarheid leidt. IDOR staat voor Insecure direct object references. Dit soort beveiligingslekken doet zich voor wanneer een webapplicatie of API een identifier gebruikt om een object in een database op te vragen zonder authenticatie of andere vorm van toegangscontrole.

Door de kwetsbaarheid kan een aanvaller zonder enige inloggegevens persoonlijke informatie benaderen die via de stalkerware-apps is verzameld, zo meldde het het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit destijds. Het gaat dan om sms-berichten, foto's, opgenomen telefoongesprekken en locatiegegevens. Exacte details over het lek zijn niet bekendgemaakt om misbruikte voorkomen. TechCrunch stelde in 2022 dat het om zeker 400.000 smartphones ging. De website waarschuwde het verantwoordelijke softwarebedrijf maar kreeg geen reactie.

Twee jaar later blijkt dat de IDOR-kwetsbaarheid nog steeds in de API van TheTruthSpy aanwezig is. Inmiddels hebben ook verschillende groepen misbruik van het beveiligingslek gemaakt. Op basis van de buitgemaakte data heeft TechCrunch zo'n 50.000 nieuwe besmette Androidtelefoons aan de database van stalkerware-slachtoffers toegevoegd. De website biedt een tool waarmee het mogelijk is om op basis van IMEI of advertentie-ID te controleren of de telefoon besmet is met TheTruthSpy. Slachtoffers van de stalkerware bevinden zich onder andere in Europa en de Verenigde Staten.