本文來自微信公眾號“GoUpSec”。
近日,在美國頗為流行的商業(yè)間諜軟件工具pcTattletale登上了美國科技媒體頭條,因為該工具的安全漏洞導(dǎo)致17TB用戶敏感數(shù)據(jù)在互聯(lián)網(wǎng)上公開泄露。
“一鍵跟蹤”的爆款商業(yè)間諜軟件
pcTattletale是一款公開銷售的商業(yè)間諜軟件,可安裝在Windows和Android操作系統(tǒng)設(shè)備上,用于遠程截取屏幕信息取證,廣泛用于跟蹤個人(例如夫妻互相監(jiān)控、父母監(jiān)控子女)。許多美國酒店入住系統(tǒng)、公司和律師事務(wù)所的電腦也安裝了該軟件,用于監(jiān)控員工、客戶或開展“個性化營銷”。
pcTattletale最大賣點是易用性,把高端復(fù)雜的間諜軟件做成了老幼婦孺皆可輕松上手的爆款產(chǎn)品。
用戶只需在其官網(wǎng)上注冊,就可獲得定制.exe或.apk跟蹤文件,然后在目標設(shè)備上安裝即可實施持續(xù)跟蹤(實時屏幕截圖)。
該定制文件與用戶憑證綁定,從而將安裝過程簡化為只需兩次點擊,把易用性做到了極致。安裝完成后,間諜軟件用戶只需登錄網(wǎng)站帳戶即可觸發(fā)或訪問監(jiān)控對象的屏幕截圖/錄屏視頻。但pcTattletale提供的所謂錄屏視頻記錄并非視頻文件,而是相隔幾秒鐘拍攝的靜態(tài)屏幕截圖,這些屏幕截圖被拼接在一起并以.GIF文件的形式播放,以生成目標所需的(視頻)記錄。
暗藏后門泄露17TB敏感數(shù)據(jù)
上周,安全研究人員Eric Daigle發(fā)現(xiàn)pcTattletale的API中存在一個嚴重的低級漏洞:該間諜軟件附帶了硬編碼的AWS憑證,可通過隱藏的Webshell后門訪問其亞馬遜存儲桶(用于存儲用戶的截屏數(shù)據(jù)),這意味著攻擊者可輕易獲取安裝了該間諜軟件的設(shè)備的屏幕截圖數(shù)據(jù)。
漏洞披露不久后,pcTattletale遭遇了黑客攻擊,黑客從pcTattletale的亞馬遜S3存儲桶中竊取了高達17TB敏感數(shù)據(jù)(主要為屏幕截圖)被黑客在互聯(lián)網(wǎng)上公開泄露(下圖),任何人都可獲取,其中一些截圖可追溯到2018年。
黑客公布的數(shù)據(jù)泄露清單包括數(shù)據(jù)庫轉(zhuǎn)儲、stalkerware服務(wù)的完整webroot文件以及其他S3存儲桶內(nèi)容,暴露了多年的用戶敏感信息。Daigle指出,根據(jù)泄露數(shù)據(jù)樣本,大量美國酒店、公司電腦以及至少兩家律師事務(wù)所似乎都受到了該漏洞的攻擊。
雖然pcTattletale花了足足20個小時將入侵的官網(wǎng)關(guān)閉,但其客戶端軟件仍然在源源不斷將屏幕截圖上傳到S3存儲桶,直到亞馬遜出手鎖定了pcTattletale的AWS賬戶(下圖):
值得注意的是,黑客在攻擊中發(fā)現(xiàn)的Webshell后門至少從2011年12月起就隱藏在間諜軟件的后端代碼中,允許通過使用cookie執(zhí)行任意PHP代碼,這引發(fā)了人們對其來源的疑問——它是pcTattletale自己放置的后門,還是其他黑客放置的?
安全人員buran77指出,這表明pcTattletale基本上一直被后門程序控制,并且多年來可能一直有外部行為者竊取數(shù)據(jù)。
“受害者”遍布全美各行各業(yè)
pcTattletale間諜軟件數(shù)據(jù)泄露事件可謂一石激起千層浪,受影響的受害者(間諜軟件用戶及其監(jiān)控目標)遍布全美各個行業(yè)。
根據(jù)安全研究人員maia crimew對泄露數(shù)據(jù)的初步分析,大量企業(yè)和機構(gòu)都是該工具的忠實用戶,其中包括銀行、律師事務(wù)所、教育機構(gòu)、醫(yī)療機構(gòu)甚至政府機構(gòu)等。研究人員分享的一些數(shù)據(jù)泄露樣本/用例如下:
●酒店泄露客人信息,例如個人數(shù)據(jù)和信用卡詳細信息。
●律師事務(wù)所曝光律師與客戶之間的溝通以及客戶銀行路由信息。
●一家銀行泄露機密客戶數(shù)據(jù)。
●學(xué)校、托兒所等教育機構(gòu)監(jiān)視員工或?qū)W生,泄露個人數(shù)據(jù)。
●醫(yī)療機構(gòu)泄露患者信息。
●巴勒斯坦政府機構(gòu)雇員受到監(jiān)控。
●波音公司供應(yīng)商的人力資源部門泄露員工個人信息。
●科技公司在涉嫌不法行為的員工設(shè)備上秘密安裝pcTattletale,暴露內(nèi)部系統(tǒng)和源代碼。
●一名漏洞賞金獵人安裝了該軟件進行滲透測試,然后立即試圖卸載它。
從曝光的泄露數(shù)據(jù)來看,pcTattletale的應(yīng)用場景極為廣泛,不僅被父母用于監(jiān)視孩子,配偶相互監(jiān)視,而且還被大量酒店、律師事務(wù)所、學(xué)校、科技公司(甚至包括波音公司)用于跟蹤員工、客戶。這意味著pcTattletale數(shù)據(jù)泄露事件不僅會泄露大量政企機密信息,同時可能引發(fā)大規(guī)模的隱私、商業(yè)倫理和社會問題。
鑒于受影響的公司范圍廣泛且存在重大安全漏洞,安全研究員maia crimew指出,pcTattletale可能面臨被停業(yè)的嚴重后果,因為美國聯(lián)邦貿(mào)易委員會(FTC)此前已下令其他美國跟蹤軟件開發(fā)商在發(fā)生數(shù)據(jù)泄露事件后停止運營,而pcTattletale的案件也將面臨類似的結(jié)果。
無論最終結(jié)果如何,pcTattletale數(shù)據(jù)泄露/后門事件都暴露了美國數(shù)據(jù)安全治理的嚴重漏洞,很多專業(yè)人士質(zhì)疑該商業(yè)間諜軟件如何繞過各種數(shù)據(jù)和隱私安全法規(guī)得以公開銷售,并擔憂同樣主打“屏幕截圖”的微軟Windows的“回憶功能”會引發(fā)另一場更大規(guī)模的隱私災(zāi)難。