Сервис для слежки за супругами позволял просматривать данные с чужих аккаунтов

Web-сайт и соответствующее приложение для слежки за детьми, подчиненными и неверными супругами позволяют любому пользователю сервиса получать доступ к данным из чужих учетных записей и перехватывать сообщения 28 тыс. пользователей.

Речь идет о приложении Xnore для Android-устройств, iPhone и BlackBerry, способном перехватывать сообщения в Facebook и WhatsApp, электронную переписку, фотографии, историю браузинга и GPS-координаты, а также записывать телефонные звонки.

Как сообщает издание Motherboard, уязвимость в картографической функции на сайте Xnore позволяет любому, кто откроет HTML-код страницы, увидеть мобильный идентификатор, используемый Xnore для просмотра и сбора данных. С помощью этого идентификатора пользователи сервиса могут добавлять перехваченные с чужого аккаунта данные в свой собственный.

Журналистам Motherboard стало известно о проблеме от обнаружившего ее исследователя под псевдонимом L&M. «Подобные компании заботятся лишь о том, как шпионить, а конфиденциальность данных жертв и их безопасность их не интересует», – отметил L&M.

Журналистам удалось подтвердить наличие уязвимости на сайте Xnore и получить доступ к текстовым сообщениям и другой информации на одном из зараженных устройств, принадлежавшему ребенку.

Когда пользователь загружает приложение Xnore, ему присваивается мобильный идентификатор. Из HTML-кода страницы с картой на сайте Xnore злоумышленник может узнать идентификатор другого пользователя, а затем добавить его при загрузке приложения и тем самым получить доступ к данным на чужом зараженном устройстве.

Получив уведомление от Motherboard, операторы сайта удалили картографическую функцию со своего сайта и добавили «дополнительный уровень аутентификации при добавлении устройств».