Een beveiligingsonderzoeker heeft een kwetsbaarheid in de Android-spyware TheTruthSpy ontdekt waardoor gevoelige data van slachtoffers verder kan lekken. Commercieel verkrijgbare spyware zoals TheTruthSpy wordt vaak zonder medeweten van het slachtoffer op zijn of haar telefoon of computer geïnstalleerd, vaak door een gebruiker die fysieke toegang heeft. Via de spyware hebben gebruikers onder andere toegang tot ontvangen en verstuurde berichten, locatie, foto's en andere data van hun slachtoffers.

Begin 2022 bleek dat negen identieke spyware-apps genaamd TheTruthSpy, Copy9, MxSpy, iSpyoo, SecondClone, TheSpyApp, ExactSpy, FoneTracker en GuestSpy een kwetsbaarheid bevatten waardoor gegevens van zowel gebruikers als slachtoffers zijn te achterhalen. Vorig jaar bleek dat het probleem nog steeds aanwezig was. Nu is er een nieuwe kwetsbaarheid ontdekt waardoor gegevens van slachtoffers opnieuw verder risico lopen.

Beveiligingsonderzoeker Swarang Wade ontdekte dat het zeer eenvoudig is om het wachtwoord van een TheTruthSpy-account te resetten, zo meldt TechCrunch. Na de reset kan een aanvaller toegang tot het account van de gebruiker krijgen en de gegevens van slachtoffers die via de spyware zijn verzameld. TechCrunch stelde eerder dat de Android-spyware op honderdduizenden telefoons actief is.

De website waarschuwde de ontwikkelaar van de spyware, maar die liet weten dat hij de broncode "kwijt" is en het probleem niet kan verhelpen. TechCrunch stelt dat de kwetsbaarheid zo eenvoudig te misbruiken is, en dit een zeer groot risico vormt voor de slachtoffers die met deze spyware zijn besmet, dat er besloten is geen verdere details openbaar te maken. Eerder kwam TechCrunch met een handleiding voor het detecteren van dergelijke spyware.